HVV攻防演练中如何“防钓鱼”

在众多攻击手法中，钓鱼攻击凭借其“成本低、范围广、高隐蔽”的特点被广泛运用，针对企业的钓鱼攻击也不在少数。HVV期间，钓鱼实战手法可能花样百出，比如在群内分享网安学习资料、利用企业邮箱发送内部邮件。

在诸如此类场景下可以有何检测防御措施？在钓鱼实战中，可以有哪些策略有效检验员工的安全意识？

A1：

验证意识最好的办法，就是内部发起钓鱼，而且结合公司内部互动效果更好。

A2：

内部钓鱼我们一直有做，内容就是最常见的IT提醒你账号异常要登录OA修改，然后模仿OA首页弄一个钓鱼页面收集密码，根据我们近几次的数据看，入职安全意识培训前钓鱼的刨去不看邮件的，几乎100%中招。然而作为对照组，培训完之后钓鱼的也还有一半人会中招。

A3：

针对钓鱼的防御，不应只单单关注外来钓鱼手段何应对之策，而还应更关注钓鱼的对象--内部员工、供应商人员，不断加强、不断强调提高安全意识，双管齐下。

事先需要对全体员工进行教育，使其了解快速的反馈流程，加入现有的应急处置策略里面，已经识别钓鱼攻击发生，普通员工的快速反应能力，决定了能否快速约束其权限、通知扩散到全员，防止更大受害范围。

A4：

说到钓鱼场景，我这边处置过一次，以冒充老板名义让财务转钱，还有公共邮箱收到以离职人员背调名义，获取内部员工联系人信息。还有定向针对老领导卖酒的，大多是茅台。

A5：

看过有些厂商的邮件网关可以做疑似钓鱼邮件的智能分析，自己的话主要看好不好采这些附件或者发送文件的信息，再根据文件后缀、文件IOC、沙箱去分析，自己做的话工作量蛮大。

关于安全意识策略，一般是连环套，第一封是常规钓鱼，第二封是对第一封钓鱼的提示，一般第二封比较容易中招，也容易招人恨。

A6：

我们主要是监测单IP多邮箱登录，或者单邮箱多IP登录之类的场景，然后发告警，结合密码强度策略控制。

Q：那对于HVV期间的钓鱼邮件，在邮件网关或者邮件沙箱中可以定义哪些强化规则？

A1：

关于钓鱼邮件，用的是Office365，所以直接应用了微软预设的严格保护策略，然后我会每天看一下隔离邮件，研判一下是否要调整策略。

现在发现比较多的是针对外部暴露过邮箱的钓鱼，所以对于邮件组非必要不开启接收外部邮件功能，对外暴露尽量以邮件组为主。对于重要的用户进行重点策略的应用。

从上周开始模仿用户自己给自己发邮件的情况多了起来，所以在SPF和DKIM的前提下，也启用了DMARC。然后就是及时公告员工，关键还是自己有防范意识。

A2：

期待有利用大数据、机器学习、深度学习的钓鱼邮件分析技术，能够从邮件发送目标、频率、内容、范围这些特征里提取出风险邮件做拦截。

A3：

有AI自动识别就有AI对抗的出现。

A4：

我们用的某品牌邮件网关，没有做到期待的效果，有碰到用户的发件明显不同于以往特征，对象和数量都非常异常，网关也拦截不了，能做到像业务风控那种就好了。

A5：

一般都是积累邮件标题跟内容，把热门钓鱼邮件的那些文本都加进去，可以拦不少，一些厂商的邮件网关会省心点。

A6：

关于钓鱼邮件，借鉴某集团和我们甲方群某大佬的SOAR平台，对邮件所有包含URL域名进行沙箱检测、外部情报识别，自动化处理是最好的方案，意识培训有用，但事实上用处不算大，尤其在现在的各种专门设定的场景下。

Q：相对于事前防御，如果钓鱼攻击事件已经发生，处于事中或事后阶段，比如攻击方通过钓鱼已经拿到企业内部某高权重账号，可以有哪些措施进行补救？

A1：

关于补救措施，我觉得还是账号权限最小化，高权重账号，要不就别用一套认证了，另外加强MFA的应用。

A2：

封禁账号，各个系统登录情况确认（集中日志比较好排查），机器的东西向流量，可能影响评估，对攻击方使用URL、发件源IP、文件马的倒查溯源，邮件封禁策略更新，防火墙封禁策略更新。

→ 话题二：都知道遭受了攻击要溯源，那有没有相关攻击溯源的方法分享，或者采取哪些反制措施？

A1：

说实话，都是反钓鱼，看缘分。我们三次反制成功，两次都是攻击队领队中招，队员只有一次。

A2：

威胁情报查一下IP，运气好，对方不会藏，直接查到以前实名申请的域名。跳板代理的除非打下来，否则查不到的。

A3：

溯源靠蜜罐的时代已经过去了，可以分享个HVV期间的逮人小技巧。现在攻击队用的环境都很干净，我们曾经用桌管反制过诈骗犯。之前有个骗子冒充高管要求转账，我们就说桌管是转账助手，那玩意直接拿系统最高权限还永久免杀。

A4：

不过，零信任包含桌管的话，也可以减少网络暴露。

A5：

钓鱼反制现在太难做了，一个是你最多钓一两个，人家团队可能十几个人；第二个是太干净了，啥信息都没有。

A6：

所以溯源，还有反溯源，大家都是这个行业，谁不知道谁呀，你不在官网上放几个公共邮箱，都不一定抓到钓鱼的邮件。

A7：

2019年、2020年蜜罐溯源各单位得分不少，现在攻击队们对渗透环境有标准化培训，就算踩到蜜罐或者反制木马也难以拿到太多有效信息。

对于溯源工作，要有一个清晰的定位：抓不到就算了，抓到一个就是出彩。我们在近两年和几家头部安全厂商的白帽子们做攻防演练，发现现阶段白帽子防反制意识比较弱的点是个人手机号。各类接码平台越来越少，无痕号码成本也越来越高。白帽子们对手机号注册还报有很大的侥幸心理。

因此可以在HVV开始前两周，或者一周半，划定时间界限，对新增注册账号严密监视。制定好查询脚本对接WAF日志，访问Cookie和账号快速查询通道，社工库。对带有Cookie数据，哪怕产生一点点或者单引号的攻击行为（一般不会有大面积漏扫，只会有不小心的手贱探测），立刻通过Cookie找到账号，对接社工库尝试拿人员身份信息。对于拿到的人员信息输出简单的可疑人员报告，结合HVV全程按需使用。

A8：

我认为蜜罐在未来攻防战场上，依旧存在用武之地，依然有着不可替代作用。常用的：

1.捕获0day；

2.探测红队人员攻击信息（例如攻击人员画像）同时反制攻击者，浪费攻击者攻击时间；

3.在内网主要网段中部署蜜罐，以判断当前红队人员攻击深度和广度。

不过个人感觉未来会更趋向于高交互方式，可能未来蜜罐会出现所有功能与实际生产系统一致的高交互蜜罐（因为就目前情况，和生产系统唯一区别就是蜜罐数据都是假的），这种蜜罐更加注重0day捕获，攻击行为、攻击样本进行分析。

加个好友

欢迎 在看丨留言丨分享至朋友圈 三连

 好文推荐  

2022HW必备|最全应急响应思维导图
干货|后渗透及内网初体验的总结
发现内网存活主机的各种姿势
实战|某次攻防演练中的分析溯源
实战|后台getshell+提权一把梭
红队快速打点工具
实战|记一次艰难的外网打点
实战|记一次文件上传绕过
常见漏洞安全攻防知识库
红队信息搜集工具（附下载地址）
实战—某医院管理系统Getshell
CobaltStrike上线Linux

原文始发于微信公众号（乌雲安全）：HVV攻防演练中如何“防钓鱼”