红蓝演习之网络钓鱼篇

HW中，红队、蓝队都会很累。 没有说哪个会更强一些，毕竟道高一尺魔高一丈。

一、网络钓鱼

01.简介

钓鱼属于社会工程学

在18年的红蓝对抗还不怎么常见

在19年的时候就比较泛滥了

02.为什么会被钓鱼

因为好奇或者兴趣，随意打开广告或未知邮件中的链接

使用私人邮箱发送或者接受带有敏感信息文件的邮件

从来不重启或关闭计算机，导致系统补丁无法成功安装（特别是一些单位领导，他们的关机就是将显示屏合上）

03.钓鱼邮件攻击方式

邮件正文插入钓鱼链接，目前较为少见

邮件附件藏毒，目前较为多见，一般都会打一个压缩包，目前是为了绕过杀软的检测，特别的会在压缩包上加一些密码（一些好点的沙箱会自动解压查杀）

发件人身份伪造，对一些安全意识薄弱的人员杀伤力极高，在18年左右有真实案例，因为某些原因不在深入说明

且因为钓鱼这种攻击手法与常规不同，可能某些单位绝大多数的安全意识都很好

但是，只要有一个人安全意识薄弱，中招了，整个单位基本上可以直接出局了，对于很多的成功，往往只需要一个突破口。

04.案例（2020年的，不放图了）

常见01

关于护网演习的紧急通知

收件人: xxxxxxxxxxx

根据集团信息中心安全处下发关于开展内部网络安全攻防演习的通知和集团公 司信息中心安全处关于开展内部网络安全攻防演练的工作布置，院内将在6月xx日-6月xx日进行攻防演练。

请各事业部做好如下准备工作:

1.杜绝机两网和非法外联， 确保终端防病毒软件全覆盖。

2.杜绝弱口令、默认口令。组织修改操作系统、中间件、业务系统、OA、邮件、中间件、数据库、存在的默认口令、弱口令、空口令，删除无效账号或过期账号。禁止将口令明文存储于计算机内或张贴在显示器、办公桌等区域。

3.修复安全漏洞。组织修复互联网漏洞服务平台前期暴露出的中高危漏洞。

4.互联网资产整治。对于开放到互联网的服务端口进行梳理，关闭非必要端口。

5.关闭互联网应用的服务管理后台，检查web管理后台是否可以通过互联网访问。禁止从互联网任意地址访问web管理后台或网络、安全设备管理界面。6.加强无线网络安全管理。务必修改无线网默认口令。

6. 敏感信息管理。禁止在互联网发布和存储网络拓扑、系统源代码、账户口令、VPN账户口令等敏感信息。

7.提高安全意识，在攻防演练期间不随意打开陌生可疑邮件及附件，不向身份不明人员提供系统账号口令，不允许无关人员进入办公场地。

8.加强沟通和协调，如有出现异常情况第一时间上报。

附件为补丁检测工具和使用说明，请按照附件使用步骤自行检测:

1.下载附件YYY.exe. 该文件为安全补丁检测工具，会对电脑已安装的补丁进行检测，若存在安全问题会提示;否则，不会提示。

2. 双击YYY.exe运行即可。

若有其他问题可随时与信息中心安全处联系。

附件：YYY.exe

常见02

Sent: 2020-xx-xx xx:xx

Subject: WPS Office补丁 紧急! ! !

HW2019期间部署的测试版安全WPS存在漏洞，为避免安全隐患，请下载WPS Office补丁。

安装方法:

下载文件WPS_ Office补丁 rar解压后直接点击执行会提示选择默认WPS安装目录，选择目录后直接点击键补J即可完成补丁安装。

本次补丁主要针对windows64位操作系统，有问题请联系。如不及时打补丁，触发漏洞会关联绩效

注意事项:请右键以管理员权限运行，否则程序可能会闪退。

附件：WPS Office补丁.rar

pass:

这种杀伤力较大的地方就在于：

1.“如不及时打补丁，触发漏洞会关联绩效”

2.这个发件人的邮箱来源是admin.xxx.com.cn（比较真实，且结文是“com.cn”）

3.这个邮箱发送的人非常的多，300+人  且都是一些信息化建设及其关键岗位的人

4.对目标信息充分了解，目标企业在19年就是部署了一个WPS（定制版），正常的升级就是通过这种打补丁的方式进行

综合来说，这个邮件的成功率是这几个里最高的，木马本身比较简单，但这个攻击手法前前后后花费却不少。

常见3

~蹭热度

发件人：HR＠xxx.com.cm

2020年6月xx日xx:xx
关于近期XX疫情的通知收件人: [email protected]

XX近日连续爆发确诊病例和核酸检测阳性案例，都与XX关联，新增新冠肺炎确诊病例均有XX活动史。

接上级要求，个人或同住家属在2020年5月xx日(含) 以后去过XX，XX，近期有出现出现发热咳嗽的情况，请如实主动地向社区或单位报告，主动前往相关机构或在社区安排的地点进行核算筛查，做好个人健康监测。

为了大家的健康安全，我单位现对公司人员进行近日出行情况统计，请大家如实填写，对于谎报瞒报的要严格追究法律责任。对14天内到过XX人员统一进行核酸检测， 请填写附件表格并通过填报系统提交表格。

附件XXXX-19.zip即为填报表格，下载解压填报提交即可。

附件：XXXX-19.zip

pass:

压缩包内，(x1.xlsx、x2.docx、填报系统.exe）

像x1与x2都是正常的文件，但是这个exe正常人都应该怀疑一下吧

04、利用特殊手法（这里以word举例）

场景：

下载一个压缩包（xxx党风建设...与wwlib.dll）

正常攻击：

双击xxx党风建设，一个东西一闪而过
文件夹内就剩一个xxx党风建设.docx
此时已经完成攻击，打开生成的xxx党风建设.docx是正常内容

原理：

office在打开一些文件前会加载一些库文件，这些文件一般会存储在C盘，但是若是有一些必要加载文档在同文件夹下的话

office会有限加载这个同文件夹下的配置文件

这个恶意配置文件被加载的时候，即完成了攻击

05.防御手法

HW期间统一不适用邮箱发送exe文件

不要随意打开“exe”，“bat”，“.vbs”或者不认识的其他后缀文件（尤其是压缩且带有解压密码的）

注意邮箱有无细微差别，如：
xxxx.com.cn（真实的）
xxxx.com.cm（虚假的）

看看上级单位名称，如：
XXXX安全管理处（真实的）
XXXX安全中心处  （虚假的）

注意看看发件人，比如 HR＠xxx.com.cn，明显的不正常

打开一些附件文件前请务必先进性安全扫描

不要打开未知发件人的office文件类型的邮件附件或者内部链接，要禁用宏

及时更新电脑系统和办公软件的安全补丁，安装杀毒软件

发现可以邮件不要点击，不要打开，不要转发，已经点击程序的立即断网联系本单位安全管理人员

这也同时要求红方发送钓鱼邮件的时候，要对目标进行充分的信息收集

识破了对方的木马情况下，要对木马进行行为分析，寻找反击机会也是挺有意思的事情

06.邮件头分析

From、X-SENDER：发件人

To、X-FST-TO：收件人

X-SENDER-IP：发件IP

X-Mailer：异常特征    //一般有这个东西的都是钓鱼邮件

二、威胁溯源

01.定义

就是根据已经被攻击的事件，找到这个攻击者。

02.警惕

一些干红队的在HW期间进行的一些攻击尽量不要带有明显的个人因素，

如：

常用代号记得换换，

一些敏感信息（微信号、QQ号不在公布在公网上）

一些头像啥的记得换换

03.注意

不放过任何蛛丝马迹,寻找任何奇怪的地方。

以攻击者的思路看待问题,思路走不通了去问问红队人员。

溯源要追溯到域名、邮箱、手机号、账号等特定信息。( 只有一个IP说明不了什么问题。)

应急处置跟溯源结合起来,要追溯到攻击者的互联网入口。

反向信息收集(QQ、微信、支付宝、邮箱、Github、 博客、乌云、个人网站、社工库...)

攻击者也是人---是人就会有破绽。

作者：划水的小白白

---

推荐阅读

本文始发于微信公众号（乌雲安全）：红蓝演习之网络钓鱼篇