“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”
01
—
序言
终端上网管控
软件下载源管控
钓鱼邮件防范及运营
1、冒充用户的领导身份,正文内容极短,只留下一个QQ群号,通知用户立即加入,说是有重要指示。针对这类钓鱼邮件,可通过在外来邮件的正文开头插入一行风险提示,能有效地将用户从繁忙的工作思路中拉起安全意识。
2、为了避免邮件的恶意附件直接被沙箱分析并拦截,攻击者会在正文中插入一行公有云盘类链接(绕过安全网关检测),引导用户从该链接下载真正的恶意文件。刚结束不久网络安全攻防演习中,我们就捕获了一起使用以上方式的攻击行为,使用当下最吸引眼球的关键字作为邮件内容(比如最近的“台风防范通知”),吸引用户点击外部链接下载恶意文件,再利用终端软件0-day漏洞拿下终端。攻击行为相当恶劣,风险程度极高。
1、通过邮件网关搜索所有与本次钓鱼邮件有相似主题、内容、发件人、发件地址的邮件接收记录,确认影响范围;若发现有其他用户接收到钓鱼邮件,则采取回收邮件、通知用户的方式避免影响面扩散;
2、从流量设备中检测近期是否有其他用户访问了恶意文件的下载链接,或访问了回连地址,并将恶意地址加入日常检测范围;
3、在终端出网路径的网关类设备(AC、IPS等)中,封禁恶意地址,或做DNS黑洞处理;
4、在邮件网关中拉黑发件人、拦截相似主题/内容的邮件;
5、在终端安全系统中禁止恶意进程启动、拉黑相关文件MD5;
6、联系供应商关停互联网钓鱼链接地址;
7、与邮件网关厂商一同分析本次钓鱼邮件未被邮件网关识别的原因,进一步完善检测策略。
结语
原文始发于微信公众号(A9 Team):【A9】终端安全风险主要来源及防范措施
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论