蓝队技术栈

JAVA内存马风险处置

JAVA内存马简介

背景：内存马技术的诞生和快速发展确实与现有的Webshell后门防御措施的局限性密切相关。传统的Webshell后门虽然可以通过各种手段进行隐藏和变化，但在当前的防御体系下，其长期留存目标系统的能力受到了很大的限制。这主要是因为防御方已经具备了针对文件监控、防篡改、EDR（Endpoint Detection and Response，端点检测与响应）、Webshell查杀、流量监测以及网络层面的防火墙等多样化的防御措施，这些措施使得Webshell的静态检出率达到了90%以上，甚至在部分环境下完全无法落地。内存马技术作为一种无文件攻击、内存Webshell、进程注入等基于内存的攻击手段，其最大的特点就是在攻击过程中不产生任何文件落地，从而极大地提高了其隐蔽性和逃避性。这使得内存马能够在目标系统中持续潜伏，实时监控、搜集、篡改信息，而且难以被现有的防御措施所发现。

概念

内存马指的是无落地文件,它不像普通的文件马那样将恶意代码嵌入到文件中，而是直接注入到计算机的内存中运行。

内存马通过寻找中间件或应用程序中的漏洞，在请求处理过程中修改已有的组件，如Listener、Filter或Servlet，将恶意代码shellcode加载到内存中，然后在内存中执行恶意操作,实现对服务器的控制。

JavaWeb 三大组件指的是：Servlet 程序、Filter 过滤器、Listener 监听器，客户端发起的web请求会依次经过Listener、Filter、Servlet三个组件，而内存马利用在请求过程中在内存中修改或动态注册新的组件，达到注入Webshell的目的

内存马的类型

内存马的类型众多

根据不同的脚本类型，存在各种触发机制不同的内存马，没有稳定的静态特征，易于混淆，常规的WAF安全产品难以检测

1. 传统Web应用型内存马：

• Servlet型内存马：动态注册Servlet及映射路由。

• Filter型内存马：动态注册Filter及映射路由。

• Listener型内存马：动态注册Listener中的处理逻辑。

2. 框架型内存马：

• SpringController型内存马：动态注册Controller及映射路由。

• SpringInterceptor型内存马：动态注册Interceptor及映射路由。

• Spring Webflux型内存马：动态注册WebFilter及映射路由。

3. 中间件型内存马：

• Tomcat Valve型内存马：动态注册Valve。

• Tomcat其他类型（如Upgrade、Executor、Poller）的内存马：这些内存马会动态替换或添加全局组件。

• 其他中间件（如Grizzly）的内存马：动态注册Filter及映射路由。

4. 其他内存马：

• WebSocket型内存马：动态注册WebSocket路由及处理逻辑。

• Tomcat JSP型内存马：动态注册Tomcat JSP管理逻辑并实现驻留。

• 线程型内存马：启动一个无法被杀死的线程。

• RMI型内存马：动态启动一个RMI Registry。

5. Agent型内存马：

• 通过Hook并修改关键方法添加恶意逻辑。Agent型内存马在现代webshell管理工具中有广泛实现。

利用方式分为：冰蝎马、哥斯拉马、蚁剑马、命令回显马、流量隧道马等

内存马与webshell的优缺点

Webshell的变迁过程大致如下：Web服务器管理页面—> 大马 —> 小马拉大马 —> 一句话木马 —> 加密一句话木马 —> 加密内存马

内存马优点：

1. 由于网络原因不能反弹shell的：内存马可以在不依赖网络连接的情况下，在目标服务器上执行恶意代码，从而绕过网络限制。

2. 内部主机通过反向代理暴露Web端口的：内存马可以隐藏在Web应用程序内部，通过反向代理暴露的Web端口进行通信，而不必担心外部防火墙或安全设备的阻止。

3. 服务器上有防篡改、目录监控等防御措施，禁止文件写入的：内存马不需要写入文件，因此可以绕过这些基于文件的保护机制。

4. 服务器上有其他监控手段，写马后会告警监控，人工响应的：由于内存马不直接写入文件，因此可以避开许多基于文件的监控和告警系统。

5. 服务使用Springboot等框架，无法解析传统Webshell的：对于使用现代框架的Web应用，传统Webshell可能无法直接运行。内存马可以通过动态注册组件等方式，在框架内部执行恶意代码。

6. 对内存马技术感到不明觉厉的：内存马技术相对复杂，对于不熟悉这种技术的安全人员来说，可能更难以检测和防范。

内存马缺点：

1. 服务重启后会失效：由于内存马是驻留在内存中的，一旦服务器重启或应用程序重启，内存马就会失效。因此，攻击者需要确保服务器和应用程序的稳定性，或者采取其他措施来确保内存马的持久性。

2. 对于传统内存马，存在的位置相对固定，已经有相关的查杀技术可以检出：尽管内存马技术复杂，但攻击者通常需要在特定位置注册恶意组件或修改关键函数。因此，通过分析和监控这些关键位置，安全人员可以检测出内存马的存在。此外，随着安全研究的深入，越来越多的内存马查杀工具和技术被开发出来，使得内存马的检测变得更加容易。

内存马应急处置

1、进行进程分析：

• 使用任务管理器、ps 命令（Linux）或 tasklist 命令（Windows）查看系统中所有进程的信息，包括进程名称、PID、所属用户、内存占用等。

• 注意查找不属于正常应用程序或服务列表的未知进程，或内存占用异常高的进程。

• 使用strace（Linux）或Process Explorer（Windows）等工具进一步分析可疑进程的行为。

2、系统日志分析：

• 分析系统日志文件（如 /var/log/ 目录下的文件，Windows 的事件查看器等），了解系统启动、服务开启、网络连接等活动的日志记录。

• 查找是否有可疑的登录尝试、服务启动、文件访问或网络连接事件。

• 关注与内存操作、进程创建、文件写入等相关的日志条目。

3、使用内存分析工具：

• 使用专业的内存分析工具，如 Volatility Framework、Mandiant Memoryze、Rekall 等，获取物理内存或内存镜像文件进行分析。

• 在内存中查找潜在的内存马代码或痕迹，如异常的代码段、内存中的文件内容、隐藏的进程或线程等。

• 对可疑的内存区域进行更深入的分析，如反汇编、解码等，以确定其功能和来源。

4、网络监测与分析：

• 使用网络监测工具如 Wireshark、Tcpdump 等捕获网络流量，并过滤出与Web服务、远程连接等相关的数据包。

• 分析网络流量中是否有可疑的通信行为，如未知的远程连接、加密的通信数据、异常的数据包频率等。

• 关注与命令和控制中心（C&C）的通信，这可能包括固定的IP地址、域名或加密的通信协议。

5、利用安全软件扫描工具进行全面检测：

• 使用知名的安全软件扫描工具，如Norton Power Eraser、Kaspersky Virus Removal Tool、Malwarebytes 等，对系统进行全面扫描和检测。

• 这些工具可以检测并清除多种类型的恶意软件，包括内存马。

• 注意更新工具的病毒库和定义文件，以确保能够检测最新的内存马变种。

6、实施额外的安全策略与监控：

• 加强服务器的安全配置，如禁用不必要的服务、限制远程连接、更新操作系统和应用程序的补丁等。

• 实施文件完整性监控（FIM）和主机入侵检测系统（HIDS），以实时检测和响应系统中的任何可疑活动。

• 定期进行安全审计和漏洞扫描，确保系统的安全性和完整性

挖矿木马风险处置

挖矿木马简介

挖矿：

在比特币系统的运行过程中，存在一个固定的机制，即每隔一段时间，系统会生成一个独特的随机数字谜题。全球的计算机用户都可以参与这个谜题的解答过程，即所谓的“挖矿”。一旦某个计算机节点成功解出这个谜题，它就会创建一个新的区块，并因此获得比特币作为奖励。这种奖励机制激励了全球的矿工们投入大量的计算资源来维护比特币网络的稳定运行。然而，解答这个谜题的过程异常复杂，需要执行数以万亿计的哈希运算，因此，有些不法分子会通过非法手段，如入侵服务器，利用他人的计算机算力来帮助他们挖矿

挖矿木马：

挖矿木马是一种恶意软件，攻击者通过各种手段将其植入受害者的计算机中。在受害者毫不知情的情况下，这种木马会占用其计算机的算力来进行比特币挖矿活动，从而为攻击者带来经济收益。挖矿木马通常是一种自动化的脚本，它首先通过漏洞利用脚本获取主机的控制权，然后下载并执行挖矿进程部署脚本，进行挖矿进程的部署、隐藏、持久化和痕迹清除等操作。为了确保能够在受害者的计算机中长期驻留，挖矿木马会采用多种技术手段，如修改任务计划、调整防火墙设置或篡改系统文件，这些操作有时可能导致服务器业务的中断，对受害者造成严重的损失。

挖矿木马发作的特征

服务器或PC的CPU资源利用率显著上升，逼近甚至超过其设计极限（即100%），并且这种高负载状态持续不减，导致设备性能下降、操作变得迟缓时，我们可以初步判断该设备可能正在被用于挖矿活动。

除了CPU资源占用异常外，挖矿活动通常还伴随着其他特征。首先，服务器或PC可能会访问一些不受信任的地址，这些地址可能包括特定的主机、IP或域名。这是因为许多挖矿程序需要从这些不受信任的来源下载初始化程序或更新。这些不受信任的来源可能涉及第三方情报机构，或者是企业内部长期未被察觉或管理的历史数据残留。

此外，我们还可能会发现服务器或PC中新增了异常或恶意的文件、进程或服务。这些新增的实体可能是挖矿程序的一部分，用于执行实际的挖矿任务或支持挖矿活动。值得注意的是，很多这样的异常文件可能会隐藏在系统的临时文件夹（如TMP目录）中，以躲避用户的注意和检测。

最后，服务器或PC的定时任务也可能发生变更。挖矿程序可能会修改或添加定时任务，以确保在系统启动时自动运行挖矿进程，或者在特定时间执行挖矿任务。这种变更可能会破坏系统的正常操作，并导致服务器或PC性能进一步下降。

挖矿木马的分类

1. 可执行文件挖矿木马：这是存储在机器上的典型恶意程序，通常通过设置计划任务或修改注册表项实现持久化，长期进行加密货币的挖矿作业。

2. 基于浏览器的挖矿木马：这类挖矿木马使用JavaScript（或类似技术）在浏览器中执行。只要浏览器打开被植入挖矿木马的网站，就会执行挖矿任务，持续消耗资源。常见的网页挖矿木马有：Coinhive、JSEcoin、CryptoLoot、DeepMiner、Webmine、AuthedMine、BrowserMine、Coinimp、CryptoWebMiner、Ppoi等。

3. 无文件挖矿木马：这类挖矿木马利用如PowerShell等合法工具在机器的内存中执行挖矿作业，具有不落地、难检测等特点。

4. 挖矿木马僵尸网络：这是黑客通过入侵其他计算机，在其他计算机中植入恶意程序并通过该恶意程序继续入侵更多计算机，从而建立起来的一个庞大的傀儡计算机网络。僵尸网络中的每一台计算机都是一个被黑客控制的节点，也是一个发起攻击的节点。黑客入侵计算机并植入挖矿木马，之后利用被入侵的计算机继续向其他计算机植入挖矿木马，最终构建的僵尸网络就是挖矿木马僵尸网络。

常见木马有：Outlaw、Tor2Mine、H2Miner、Satan DDoS、Sysrv-hello、HolesWarm、Kworkerds、WannaMine、Mykings(隐匿者)、Bulehero、8220Miner、"匿影"挖矿木马、DDG、MinerGuard、Watchdogs等

挖矿木马的传播方式

1、利用漏洞传播

为了追求高效率，攻击者一般会通过自动化脚本扫描互联网上的所有机器，寻找漏洞，然后部署挖矿进程。因此，大部分的挖矿都是由于受害者主机上存在常见漏洞，如Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、Web漏洞等，利用系统漏洞可快速获取相关服务器权限，植入挖矿木马。

2、通过弱密码暴力破解传播

挖矿木马会通过弱密码暴力破解进行传播，但这种方法攻击时间较长。

3、通过僵尸网络传播

利用僵尸网络也是挖矿木马重要的传播方法，如利用Mykings、 WannaMine、Glupteba等控制大量主机。攻击者通过任务计划、数据库存储过程、WMI等技术进行持久化攻击，很难被清除，还可随时从服务器下载最新版本的挖矿木马，控制主机挖矿。

4、采用无文件攻击方法传播

通过在PowerShell中嵌入PE文件加载的形式，达到执行“无文件”形式挖矿攻击。新的挖矿木马执行方法没有文件落地，会直接在PowerShell.exe进程中运行，这种注入“白进程”执行的方法更加难以实施检测和清除恶意代码。

5、利用网页挂马传播

在网页内嵌入挖矿JavaScript脚本，用户一旦进入此类网页，脚本就会自动执行，自动下载挖矿木马。

6、利用软件供应链攻击传播

软件供应链攻击是指利用软件供应商与最终用户之间的信任关系，在合法软件正常传播和升级过程中，利用软件供应商的各种疏忽或漏洞，对合法软件进行劫持或篡改，从而绕过传统安全产品检查，达到非法目的的攻击。例如，2018年12 月出现的DTLMiner是利用现有软件升级功能进行木马分发，属于供应链攻击传播。攻击者在后台的配置文件中插入木马下载链接，导致在软件升级时下载木马文件。

7、利用社交软件、邮件传播

攻击者将木马程序伪装成正规软件、热门文件等，通过社交软件或邮件发送给受害者，受害者一旦打开相关软件或文件就会激活木马。

8、内部人员

私自安装和运行挖矿程序机构、企业内部人员带来的安全风险往往不可忽视，需要防范内部人员私自利用内部网络和机器进行挖矿获取利益。

挖矿木马通过流量层面如何判断真实性？

1. 通信端口：

挖矿木马可能会使用特定的端口进行通信。例如Monero挖矿木马常用的TCP端口3333或5555是常见的指示符。但需要注意的是，这些端口并不是绝对固定的，攻击者可能会选择其他端口来避免被检测。

2. 通信流量：

1. 挖矿木马的通信流量通常具有特定的特征。例如它们可能会产生大量的高速数据传输，特别是在进行挖矿任务时。

2. 周期性的通信模式也是挖矿木马的一个常见特征，因为挖矿任务可能需要定期从矿池接收新的任务或提交结果。

3. 在数据包中，你可能会看到与挖矿相关的信息，如计算资源使用情况和挖矿结果。

3. 进程和文件系统：

1. 挖矿木马通常会创建特定的进程来执行挖矿操作。例如，Monero挖矿木马可能会创建名为"xmrig"的进程。

2. 在文件系统中，挖矿木马可能会创建配置文件（如"config.json"）来存储挖矿设置和矿池信息。

4. 系统资源：

1. 挖矿木马会占用大量的系统资源，特别是CPU和内存。这可能会导致系统性能下降，甚至崩溃。

2. 通过监控这些资源的使用情况，你可以发现异常的消耗模式，这可能表明存在挖矿木马。

5. 判断流量的数据：

1. 在分析网络流量时，注意查找与挖矿相关的特定数据。例如，挖矿难度、钱包地址、挖矿程序版本等信息都是挖矿木马通信中常见的元素。

2. 如果流量中存在这些数据，那么很可能存在挖矿木马。

6. 数据包详细信息：

1. 深入分析数据包的详细内容可以帮助你更准确地识别挖矿木马。查看是否有与矿池交互的信息是关键的一步。

2. 特别注意"method":"login"和"method":"job"这样的字段，它们通常用于与矿池建立连接和接收挖矿任务。

3. 在载荷内容中查找"ok"、"success"等字段也是一个有用的方法，因为它们可能表示成功的交互。

挖矿木马应急处置

1、阻断矿池地址的连接：

为了阻止挖矿木马与矿池之间的通信，应用安全设备（如防火墙、入侵检测系统/入侵防御系统）可以配置规则来阻断与已知矿池地址的连接。这需要在网络层设置访问控制策略，确保服务器或PC不会向这些地址发送数据。

2、清除挖矿定时任务、启动项等：

1. 清除挖矿木马：首先，需要定位并删除所有与挖矿木马相关的文件和目录。

2. 清除可疑的定时任务：使用任务计划程序（Windows）或cron（Linux）检查并删除任何可疑的定时任务。

3. 清除可疑启动项：在Windows中，检查注册表和启动文件夹；在Linux中，检查/etc/init.d、/etc/cron.d、/etc/crontab等目录和文件。

3、禁用可疑用户：

如果挖矿木马创建了新的用户账户作为攻击跳板或用于其他恶意活动，应立即禁用或删除这些账户。可以通过用户账户管理工具（如Windows的“用户账户”或Linux的usermod、userdel命令）来完成。

4、定位挖矿木马文件的位置并删除：

Windows系统：

1. 使用netstat -ano命令列出所有网络连接，并找到与矿池通信的PID。

2. 使用tasklist命令结合PID找到对应的进程名称。

3. 打开任务管理器，找到该进程并结束它。

4. 导航到进程文件所在的目录，并删除相关文件。

Linux系统：

1. 使用netstat -anpt命令查看与矿池通信的进程、端口及PID。

2. 使用ls -alh /proc/PID命令查看进程的详细信息，特别是可执行文件的位置。

3. 使用kill -9 PID命令结束进程。

4. 使用rm -rf /path/to/file命令删除挖矿木马的可执行文件。

扫描系统文件：挖矿木马可能会修改系统文件以隐藏自己，可以使用杀毒软件或命令行扫描工具如 ClamAV 来扫描系统文件。

5、全盘杀毒、加固：

1. 在完成上述步骤后，运行杀毒软件进行全盘扫描，确保没有遗漏的挖矿木马或其他恶意软件。

2. 评估系统和应用的安全配置，并根据需要进行加固。这可能包括更新补丁、配置防火墙规则、限制不必要的网络访问等。

3. 定期检查系统日志和安全事件，以便及时发现任何可疑活动或新的威胁。

4. 考虑实施定期的安全审计和渗透测试，以评估系统的整体安全性。

勒索病毒风险处置

勒索病毒简介

勒索病毒是一种电脑病毒，其性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒主要以邮件、程序木马、网页挂马的形式进行传播，并利用各种加密算法对文件进行加密，使得被感染者一般无法解密，必须拿到解密的私钥才有可能破解

勒索病毒发作的特征  

1. 传播方式：勒索病毒主要通过三种途径传播，包括漏洞、邮件和广告推广。其中，通过漏洞发起的攻击占攻击总数的绝大部分，因为老旧系统（如win7、xp等）存在大量无法及时修复的漏洞，容易被病毒利用。此外，邮件和广告推广也是勒索病毒的传播途径之一。

2. 大量统一后缀的文件：发现勒索信在Linux/home、/usr等目录，在Windows   桌面或者是被加密文件的文件夹下。

3. 攻击对象：勒索病毒一般分两种攻击对象，一部分针对企业用户，一部分针对所有用户。

4. 攻击行为：勒索病毒文件一旦被用户点击打开，会利用连接至黑客的C&C服务器，进而上传本机信息并下载加密公钥。然后，将加密公钥写入到注册表中，遍历本地所有磁盘中的Office文档、图片等文件，对这些文件进行格式篡改和加密。加密完成后，还会在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。

勒索病毒的应急处置

1. 隔离被感染的服务器主机：

   拔掉中毒主机的网线是物理隔离的有效方法，可以确保病毒不会通过网络传播到其他系统。

关闭无线网络和蓝牙连接也是重要的，因为有些勒索病毒可能会通过无线方式传播。

拔掉外部存储设备是为了防止病毒通过USB传播到其他设备。

2. 确定被感染的范围：

彻底检查所有存储介质是关键，确保没有遗漏任何被加密的文件。

3. 确定勒索病毒家族：

查看勒索提示信息可以初步判断勒索病毒的类型。

溯源分析包括检查系统日志、文件访问记录、进程监控等，以了解病毒是如何进入系统的。

4. 关闭端口、打上补丁、修改密码等：

根据溯源分析的结果，关闭可能被利用的端口。

安装操作系统和应用程序的更新补丁，修复已知的安全漏洞。

修改所有系统密码，使用强密码策略。

安装高强度防火墙和防病毒软件，并确保它们都是最新版本。

5. 数据和业务的恢复：

使用数据恢复工具尝试恢复被删除但未被覆盖的文件。

联系第三方解密服务或黑客（不推荐，因为这可能助长犯罪行为）。

评估数据的重要性，如果数据不是非常关键，可以考虑重建系统并恢复业务。

如果存在备份，则还原备份数据是最快和最安全的方法。

如果没有备份，可以考虑以下恢复方法：

• 使用数据恢复工具尝试恢复被删除但未被覆盖的文件。

• 联系第三方解密服务或黑客（不推荐，因为这可能助长犯罪行为）。

• 评估数据的重要性，如果数据不是非常关键，可以考虑重建系统并恢复业务。

钓鱼邮件风险处置

钓鱼邮件简介

钓鱼邮件是一种利用伪装的电邮，欺骗收件人将账号、口令等信息回复给指定的接收者，或引导收件人连接到特制的网页以窃取信息的攻击方式。这些特制的网页通常会伪装成真正的银行或理财网页，让登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等，进而被不法分子盗取。

钓鱼邮件的特征

1. 冒充上级领导或管理机构的身份，使用较为正式的文字，但邮件正文涉及帐号密码口令等敏感信息。

2. 邮件中通常包含链接或附件，这些链接可能导向伪造的网站，而附件可能包含病毒或恶意软件。

3. 邮件的标题和内容常常具有诱导性，如宣称接收者中奖、账户存在异常、密码被重置等，以诱骗接收者点击链接或下载附件。

钓鱼邮件的分类

1. 链接钓鱼：这类邮件通常以链接的形式存在，一般通过伪造管理员身份或是伪造政府、银行等机构的网站，要求用户输入姓名、身份证号、银行卡号、银行卡密码等信息，从而盗取用户的银行账号。另一种链接指向的网页暗藏木马程序，如果用户浏览器存在未修复的漏洞，点击链接的同时就可能中招。

2. 二维码钓鱼：邮件中不直接放过于明显、容易识别的网页链接，而是通过内含的二维码，引导用户扫描进入钓鱼网站。用户扫描二维码打开的网站往往会要求用户输入邮箱密码或银行卡密码以获取用户敏感信息，从而盗取用户的账户。二维码也可能指向附件或App，要求用户下载并在其中植入病毒。

3. 附件钓鱼：这类邮件的风险在于邮件附件，附件类型主要是shtml、html网页、以及带有木马病毒的可执行文件、压缩包，也可能是Office文件、PDF等。一旦用户双击附件文件时，附件文件中的脚本、宏或者客户端软件CVE漏洞会自动执行，从而打开钓鱼网站或者给用户的电脑植入木马或病毒。

4. 内容钓鱼：以“补贴发放”、“工资补发”、“退税”等名义，这类邮件仿冒人力、财务等部门，向员工的企业办公邮箱发送钓鱼邮件，一般通过具有吸引力的标题进行诱骗。还有以系统升级为名义，诱导用户点击链接，并要求提供邮箱密码、银行账号密码等个人信息。也有以密码更新等名义，要求点击链接更新密码，进而窃取用户的敏感信息。

5. 假冒发件人钓鱼：这种钓鱼邮件伪装成来自用户信任的人或组织，如同事、朋友、银行、政府机构等。发件人地址可能被伪造，以使用户相信邮件来自可信赖的来源。这些邮件可能包含虚假的请求、警告或优惠，以诱骗用户点击恶意链接或下载恶意附件。

钓鱼邮件的识别

钓鱼邮件是一种常见的网络针对性攻击手段，通常通过电子邮件发送虚假信息诱骗受害者提供个人敏感信息或进行非法行为。以下是几种发现钓鱼邮件的方法：

1. 查看发件人地址：钓鱼邮件的发件人地址通常会伪装成合法、可信的机构或公司，但是如果您仔细查看发件人地址，就可能发现其不是该机构或公司真正的域名。

2. 检查链接地址：钓鱼邮件中通常会包含可疑的链接，如果您将鼠标悬停在链接上，就可以看到链接的真实地址。如果该地址与邮件内容不符，就可能是钓鱼邮件。

3. 注意邮件内容：钓鱼邮件通常会给人留下一种紧急、必须立即采取行动的感觉，从而诱骗用户点击链接或执行某些操作。因此，如果您收到这样的邮件，请仔细阅读邮件内容，并多加思考和确认。

4. 尽量避免下载附件：钓鱼邮件通常会携带恶意附件，如果您无法确认邮件的真实性，最好不要下载或打开这些附件，以免被感染。

5. 安装反钓鱼软件：有一些反钓鱼软件可以帮助用户检测和拦截钓鱼邮件，例如 Google 的 Password Alert 等。

钓鱼邮件应急处置

1. 隔离被钓鱼的主机

一旦发现主机被钓鱼邮件感染，网络安全工程师应立即将其隔离，以防止病毒或恶意软件进一步传播。这可以通过断开网络连接、关闭受感染的服务或应用程序等方式实现。

2. 屏蔽办公区域对钓鱼邮件内容涉及站点、URL的访问

在办公环境中，使用上网行为管理（Web Filtering）功能，配置规则以屏蔽与钓鱼邮件内容相关的站点和URL。

对于特定的域名或IP地址，可以在路由器或交换机层面设置ACL（访问控制列表）进行屏蔽。

3. 邮件内容涉及域名、IP均应该进行屏蔽

对于钓鱼邮件中提及的域名和IP地址，进行收集并添加到屏蔽列表中，以防止员工通过其他方式（如直接在浏览器中输入）访问这些站点。

4. 对访问钓鱼网站的内网IP进行记录

在网络设备上启用日志记录功能，记录访问被屏蔽的钓鱼网站的内网IP地址。这些记录可以用于后续的安全审计和溯源工作。

5. 屏蔽钓鱼邮件

在邮件服务器上配置规则，自动识别和屏蔽钓鱼邮件，防止其进入员工邮箱。

6. 屏蔽钓鱼邮件来源邮箱域名和IP

识别并收集发送钓鱼邮件的邮箱域名和IP地址，将其添加到屏蔽列表中。

对于已知的攻击者邮箱域名或IP地址，可以在网络设备上设置规则，直接拒绝这些地址的邮件进入内部网络。

7. 有条件的可以根据邮件内容进行屏蔽

使用先进的邮件过滤技术，如内容分析或机器学习，根据邮件的文本内容、图片、附件等特征识别并屏蔽钓鱼邮件。

8. 删除还在邮件服务器未被客户端收取的钓鱼邮件

定期检查邮件服务器，删除未被员工收取的钓鱼邮件，防止员工在未来某个时间点查看并受到欺骗。

9. 处理接收到钓鱼邮件的用户

通知接收到钓鱼邮件的用户，告知其邮件为钓鱼邮件，并提供相应的处理建议。

提醒用户不要点击邮件中的链接或下载附件，并建议其修改可能已泄露的账号密码。

10.根据钓鱼邮件发件人进行日志回溯

对发送钓鱼邮件的发件人进行日志回溯，查看其发送历史、邮件内容等，以便了解攻击者的活动轨迹和目的。

排查是否有公司内部通讯录泄露的情况，并采取相应的措施进行修复和防护。

11.通知已接收钓鱼邮件的用户进行处理

对于已经接收到钓鱼邮件的用户，发送通知邮件，提醒其注意邮件内容，并给出处理建议。

12.删除钓鱼邮件

指导用户删除其邮箱中的钓鱼邮件，并清空相关的垃圾邮件文件夹，以避免误点或误操作。

13.系统改密

提醒用户修改可能已泄露的账号密码，尤其是与邮件系统、办公系统和其他重要应用相关的密码。

14.全盘扫毒

建议用户对计算机进行全盘扫描，确保没有恶意软件或病毒存在。

15.后续：溯源、员工培训提升安全意识

对钓鱼邮件进行溯源分析，了解攻击者的来源和动机，以便采取针对性的防护措施。

对员工进行网络安全培训，提升其对钓鱼邮件和其他网络威胁的识别能力和防范意识。

护网招聘

2024HVV简历可以投递至邮箱，格式为：姓名-手机号码-级别.pdf

投递邮箱：[email protected]

原文始发于微信公众号（青锋云盾）：护网蓝队之应急响应(风险处置)