今天是6月6日,早上上班收到的第一封邮件是公司领导发来的,让我确认收到的邮件是不是钓鱼邮件。
收到邮件的一瞬间,凭借经验确定必然是钓鱼邮件,在虚拟机中打开邮件内容中的链接自动下载exe可执行程序,windows defender立刻检测到是木马程序。
1、快速处置过程:
1、向领导回复结论,是钓鱼邮件,告诉领导不要点邮件中的链接;
2、向其他收到这封钓鱼邮件的领导一并联系,告诉领导不要点邮件中的链接;
3、通知邮件安全管理员,检查这封邮件投递情况,批量删除邮件,并在安全网关更新钓鱼邮件规则。
2、木马样本分析:
木马样本分析时间比较长,选择使用微步在线云沙箱进行分析,蹭了渊龙Sec安全团队(加入安全团队的优势)的企业账号,IOC判定为银狐远程控制木马。通过查资料,了解到“银狐”远程控制木马,攻击的目标主要是企业老板,通过入侵老板的电脑,控制聊天工具(比如微信)实施诈骗,木马的背后是一群黑产团伙。
面对“银狐”远程控制木马鱼叉式攻击,要消除影响,减少被攻击面,避免损失。
举报两个恶意ip:
154.82.73.63
8.134.123.23 阿里云主机,广州市
再扩展说说甲、乙方对需求的理解差异。
甲方需求:通过技术手段加强钓鱼邮件识别和拦截,不要收到钓鱼邮件。
乙方理解的需求:收到钓鱼邮件之后,事后更新规则,通过技术手段加强钓鱼邮件识别和拦截。
问题出在哪里???难道是因为学历、经验、责任心上的差异?
面对现在这种来自外部的网络攻击形式日渐严峻,尤其是针对公司高级管理人员以及重要工作人员展开的定向攻击,应该时刻敲响警钟,干网安岗位的人啊,适当的要多思考一步,为领导分忧,筑牢内部坚强堡垒,不仅要抵御外部攻击,而且还要能开展反击。
原文始发于微信公众号(核点点):甲方视角:网安工作的挑战与策略——抵御‘银狐’远程控制木马的鱼叉式攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论