应急响应|某金融企业被钓鱼邮件攻击 admin 98856文章 86评论 2023年5月29日08:55:59评论48 views字数 1730阅读5分46秒阅读模式 HW不知不觉很快就要开始了,很多重要行业单位每日都在承受着不一样的网络攻击,最近这一段时间还是属网络钓鱼攻击最为疯狂,让人防不胜防,也意味着现如今网络安全意识的重要性...... 一、事件起因 今年五一假期某金融企业单位大量员工账号收到钓鱼邮件两封,由于专业性问题,该单位人员找到了我赶赴现场进行研判分析,经过分析钓鱼邮件二维码、URL、钓鱼文件未存在病毒传播风险;第一封是为进行个人信息收集(邮箱账号、邮箱密码、公司职位等)的钓鱼邮件,第二封疑似为利用第一封钓鱼邮件收集到的信息进行群发金融诈骗的钓鱼邮件。 二、钓鱼邮件分析 1、邮件源文件 第一封:OA邮箱升级提示! 首先是一段文字强调该邮件的重要性,表明目的:(1)数据迁移(2)不主动上报即停止服务,影响业务运行(3)原始数据不会发生改变;一步步诱导用户进行操作,所谓“用心良苦”! 点击登录之后跳转到钓鱼攻击者精心设计的界面,该界面经过与之前该金融企业单位之前界面是非常相似的! 第二封:最新工资补贴通知! 工资补贴也是戳中了一些打工人员的心,毕竟五一过后很难拒绝这一笔来之不易的补贴!(包括贫穷的我) 紧着着扫描该二维码,看看这个二维码有何异样!扫完发现该二维码与附件二维码一致,只是指向域名不一致,里面均有声明,有备案,整的非常的严谨与正规!后续经过研判分析发现,这是一个对自己银行卡等敏感信息的收集,攻击者利用这个收集信息进行转账、取钱、诈骗等危险手段。 通过以上两份钓鱼邮件分析发现,这两份钓鱼邮件并无太大的联系,但是也就意味着互相打着掩护,也利用了假期回归后公司对员工的关心这一特点,让其放下防备心理,从而导致了金额损失! 2、钓鱼邮件攻击溯源 (1)邮件请求头 我们知道,发送钓鱼邮件的时候,我们的IP是附带在我们邮件的请求头中的,所以第一时间是分析该邮件请求头信息,发现了攻击者IP。 第一封请求头信息 第二封请求头信息 (2)邮件内网站研判 既然攻击者已经设计好了两个网页,那么这两个网页就证明了是攻击者的资产,我们就可以通过这两个网页去进行研判,从而找到攻击者留下的蛛丝马迹。 第一个网站:OA邮箱收集信息的 第二个网站:工资补贴申领的! word文档的二维码扫描的地址为:a.2s***.work 附件二维码扫描解析地址为:x7***W.y****.fu* 3、溯源反制 经过上面一系列分析,我们继续对该金融公司的邮件登录系统进行排查,排查过程发现有很多用户账户以及管理员账户使用了异地IP进行登录,,经过排查发现以下特点: (1)登录过程使用了暴力破解、一次性登录(之前收集了一波钓鱼信息,估计一次登录由此而来,经过后续的对比以及与账号本人确认确实如此); (2)登录的IP位置90%在福建与广西两个地区; (3)有三台IP地址为福建某公司网站所属IP; 利用第三点,发现其中一个IP为该公司网站IP,后续发现该网站存在一定的漏洞量,后续也通过微步以及该IP的端口开放情况(有灯塔系统,22端口弱密码、ftp弱口令,其中微步还识别还有相关病毒文件传播嫌疑),得知该IP是已经被入侵了,由于未得到该公司授权,后续无法继续对该IP进行排查! 最后的最后由于发现得早,未造成大金额财产损失,某受伤的员工最后也得到公司的帮助,平息了此事......还是很人性化的 三、总结 网络安全就在身边,涉及金钱交易时请一定记得多方确认才能实施信息填写,多点防范,就能让想违法犯罪的黑客无所用处。 Tips: 扫码回复“进群”加入交流群 往期精彩 工具获取回复“burp”“awvs”“nessus”“ladon”"Forfity"等可以。 快速攻击全自动化工具JuD Exp-Tools 1.1.3版本发布 GUI-tools渗透测试工具箱框架 阿波罗自动化攻击评估系统 微软 Word RCE附PoC Clash最新远程代码执行漏洞(附POC) 禅道系统权限绕过与命令执行漏洞(附POC) 【附EXP】CVE-2022-40684 & CVE-2022-22954 网络安全应急预案合集 师傅们求点赞,求支持! 原文始发于微信公众号(WIN哥学安全):应急响应|某金融企业被钓鱼邮件攻击 点赞 https://cn-sec.com/archives/1769203.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫
评论