干货 | IM钓鱼防不胜防？秘籍来了！

    经过近几年的高强度实网攻防对抗和安全能力迭代，很多大型甲方的整体安全防护已经做得相对成熟了，在攻防中想要利用系统漏洞，突破网络边界直接进到企业内网，攻击方手上没几个0day也很难做到。

    （图来自互联网）

    而在另一边，随着移动互联网时代移动办公的趋势来临，IM即时通讯软件在公司业务开展中逐渐盛行，几乎所有公司在日常工作中都会使用到IM进行办公和日常业务交流，每天通过IM能收发百万级的落地文件，这些文件鱼龙混杂，夹杂着大量的未知安全威胁。

（图为举例常见IM即时通讯软件）

    因此，近年来的安全红蓝对抗演练和实际的入侵事件中，IM钓鱼以其“隐蔽性和高成功率”的优势逐渐受到攻击方的青睐。

    IM钓鱼主要通过“诱骗话术+免杀处理后的落地文件”的手段进行利用。而事实上，人员安全意识及人性心理却很难通过技术手段去预测和约束；IM钓鱼的落地文件也是攻击方专门针对市面上的产品检测原理进行绕过处理的，因此也很难通过现有的策略进行检测和防御。

下面列出几个真实案例给大家随意感受下攻击方“骗人的嘴”。o(￣┰￣*)ゞ

    IM钓鱼套路深，诱骗话术层出不穷。如果每天都对收到的海量IM文件进行沙箱分析检测，一方面会造成业务开展低效缓慢，无法满足互联网业务快速高效的发展需要，另一方面IT架构也无法满足百万级沙箱分析的拓展要求。

    基于以上痛点，顺丰安全团队结合自身的安全实践对日常工作中IM落地文件加钓鱼文件的大数据关联分析，构建出一套有效的IM钓鱼深度检测及阻断的防御方案。

    通过获取公司使用的各类IM落地文件的创建逻辑（通常为IM主进程在固定目录下创建缓存文件，等接收完成之后，再重命名对象进行还原），提取固定静态特征，设定监控策略，获取文件的全量审计日志。

接收文件类型分布如下：

    其中Office类文件这部分占比最高；压缩包&可执行文件仅占少数。

    根据以上数据分析，具有高危风险的压缩包&PE&脚本类文件占比较小，且大部分可以解压后传输。Office中可以携带宏病毒或异常代码，占比占绝大多数，风险极高，但又属于业务必须，可通过自动化沙箱扫描方式进行分析确认，结合SOAR快速处置高危文件。其他类型文件风险较低，通过终端上的大数据UEBA模型进行实时监测避免漏网之鱼。

    基于实际场景中的数据分析，设计以下防御策略：

    针对压缩包类型以及可执行脚本类文件，禁止文件落地（常规通过终端DLP文件操作管理功能，或杀软的访问保护功能均可实现）。如用户在实际的业务场景中使用压缩包传输，建议解包传输，解包后文件数众多的，可进行单独例外开放，但针对例外对象，落地之后将自动触发文件上传沙箱分析动作。

    针对常规的办公类型文件，当文件落地时，自动上传至本地沙箱进行威胁分析，分析结果对接SIEM+SOAR，定义高危告警，触发处置工单。

    如发现恶意或可疑对象，可通过终端检测响应设备主动搜索对应文件，触发删除动作，或通过杀软或MDM定义访问控制策略，阻断用户执行。

    在实际攻防对抗中，通过以上IM防御策略成功阻断了两例IM钓鱼的安全事件，防止威胁进一步扩散。

    通过落地文件自动上传沙箱分析，每天持续识别可疑文件。

    以上IM钓鱼防御策略从实际场景出发，基于数据关联分析，自动上传文件进行沙箱分析，做到了业务用户无感知，最大化平衡安全对业务的影响。从攻防实战的效果来看，IM钓鱼得到有效监测和防御。

    以上就是本文关于IM钓鱼的一些实践分享，IM钓鱼的骚操作和防御思路还是有很多值得探索的地方，欢迎师傅们评论留下自己独特的见解和思路呀~