钓鱼邮件分析
背景
好久没写文章了,今天水一篇。在2024.01.15凌晨05:53分收到了一封来之人事同事的邮件,邮件只是一张图片,其邮件内容是关于补贴申请的。随后对该邮件进行展开分析,溯源和应急同步进行。
事件分析
2024.01.15的凌晨五点邮箱收到钓鱼邮件:
扫码后识别:https://www.2024115.site
但是发现每一次扫码之后的最终域名都是不一样的。
http://iqufkrj.oqqjedak.id0ymzee.sbs/
http://ycwdkljubynr.mbrzjwwpeo.edsczy1s.sbs/
http://ykaqq.wdboozdhahuzwh.id0ymzee.sbs/
通过查询域名:www.2024115.site;发现该域名在2024/01/15注册
得到该域名解析的IP为:43.135.35.213
查询该IP解析的IP的情报:43.135.35.213
发现该IP绑定了许多类似于随机的域名,这就可以解释了上面每一次扫码之后的最终域名不一致的原因。
发现该IP在1.10号就已经开始大规模的钓鱼诈骗
尝试反制该服务器
发现开启了:8888、80、443端口
443端口,根据网站图标可以发现手一个用ThinkPHP搭建的网站
80端口,一个宝塔面板,但是不知道详细的URI
尝试报错之后,看到了该CMS的版本
发现目标站点为:ThinkPHP V6.0.12LTS 框架搭建的。
尝试使用该版本的反序列化漏洞进行攻击:https://blog.51cto.com/u_12364708/5508636
使用POC攻击无果,被宝塔的防火墙拦截
深度攻击:
太菜了,还在研究如何绕过宝塔防火墙,待续。。。。。。。。
应急响应
-
马上登录该同事的邮箱进行撤回邮件。
-
在整个集团发布通知,谨防员工上当受骗。
-
(可能有师傅疑问,为什么没去分析邮件头。是因为这邮件是内部账号发送的。)
总结
临近年底,骗子动作频繁,请各位师傅擦亮眼睛,谨防上当受骗!
反诈宣传人人有责,为维护我们的和平家园一起努力。
原文始发于微信公众号(pentest):钓鱼邮件的普通分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论