钓鱼佬最开心的事情，莫过于可以像上班一样，进行常态化钓鱼。你要是问他们今天钓没钓到鱼，只会换来一句回答：钓鱼佬永不空军。

点还是不点，这是一个问题

“这简历看起来不错啊。”作为一名招聘HR，他在朋友圈发了一条招聘广告。没过多久，就有陌生人加他好友并发来了一份简历。

“是挺不错的，可以约下面试。”用人部门回复的也非常干脆。

不过，在发出面试邀请之后，这名HR等到的并不是候选人的同意，而是公司网络安全部门的小窗：你好，我们这边收到OneSEC告警，显示你电脑疑似感染木马……

这是去年8月发生的，一次利用社交软件的钓鱼攻击。

在去年攻防演习期间微步捕获的数百个钓鱼样本中，钓鱼佬使用了各种迷惑性的主题，如简历、吃瓜、骚扰、曝光、补贴、社保、薪资等，总之一切可以吸引人眼球的东西，用于吸引受害者的点击。

甚至直接用大模型应用批量生成钓鱼内容。

有用，但不完全有用

针对恶意文件，钓鱼佬会做一些比较初级的伪装，比如更改文件名、图标、隐藏或者反转文件扩展名，使其看起来像是一个正常的文档，就像这样：

与此同时，为了确保绕过杀毒软件的文件扫描，钓鱼佬会配合使用更高级的攻击手法，例如：

 0day利用

去年8月，微步捕获了某办公软件的0day在野攻击事件，攻击者利用该漏洞可生成钓鱼文档，只需用户打开文档便可触发攻击代码。

漏洞触发后，会反连一个外部链接并远程下载恶意文件，从而执行后续攻击命令。

 dll劫持

同样是去年8月，微步捕获了一个文件名为xxx详细规范.docx（实际后缀为.exe）的钓鱼文件。应用程序执行后，会在特定目录下创建一个白文件（具备合法签名）和一个恶意dll，以“白加黑”的方式绕过杀软检测。

 无文件攻击

在微步捕获的银狐黑产工具中，利用图片隐写Shellcode已经被广泛使用。攻击者在诱导用户点击钓鱼程序后会返连C2，然后将一张图片加载到内存中。用户看到的就是一张图片（不影响图片的正常显示），但在内存中该图片会解密释放出恶意代码，并创建计划任务实现开机启动。

整个过程没有任何传统意义上的恶意文件下载到硬盘上。

由于免杀效果好，上述攻击手法受到了攻击者的广泛欢迎，并大量应用于实战攻防演习。

因此，相较于依赖杀软，保持警惕性才是拒绝网络攻击的第一准则，比如不点击安全性未知的文件、链接，不插来源不明的U盘等，不给钓鱼佬可乘之机。

但即便钓不到鱼，钓鱼佬也不会坐等空军，因为他们还会“下网捕鱼”。

例如软件供应链攻击。

去年8月，OneSEC检测到某用户办公电脑启动了恶意dll和远控软件。

安全人员本以为是一次常规的钓鱼攻击，但分析显示，攻击者劫持了某办公软件的云服务进程，向用户投递恶意代码。恶意代码会拉取远控软件，帮助攻击者完成后续攻击行为。整个过程没有任何用户交互动作，与钓鱼毫无关系。

由于该办公软件用户数量庞大，理论上攻击者可以通过供应链，向所有用户发起攻击。

检测文件？检测行为

显而易见，基于文件检测技术的杀软，在终端上的攻防对抗已捉襟见肘。

但有一点可以确定，0day利用也好、无文件攻击也罢，任何网络攻击都需要一系列行为去支撑，包括但不限于进程创建、驱动程序加载、注册表修改、磁盘访问、内存访问和网络连接等，从而实现窃取、提权、横移、持久化等多种目的。

EDR的出现，能够很大程度上弥补杀毒软件在行为发现方面的缺失。这话说起来容易，但想要做到并非易事。

首先是具备全量终端行为事件采集能力，这是发现异常的前提。事件采集既要足够全面，具备足够细的颗粒度，也要遵循最小必要原则，不过多占用内存、带宽等系统资源。OneSEC支持采集100多种终端行为数据，全面覆盖网络、文件、进程、注册表、外设、内存等各个类型。

其次是具备精准的检测能力，从海量行为数据中准确发现异常，误报、漏报都要尽可能降低。OneSEC具备百亿级别的云查Hash、失陷检测IoC、行为检测IoA、图关联检测等多项检测技术综合判定产生告警。如果发现有内存注入等可疑行为，还会调用内存扫描，检测注入到内存中的恶意代码。

譬如在上文提到的0day攻击事件中，微步OneSEC和云沙箱便采集并检测到了多个异常行为：

1. 文档运行后产生了与无关的网络活动，反连可疑链接；
2. 在特定目录下创建了一个白文件和一个可疑dll文件；
3. dll文件执行后，会从云端加载下一阶段攻击载荷，反连C2来控制受害主机。

如果将上述可疑行为串联在一起，一次钓鱼样本的活动行为便清晰明了。

真的搞定了吗

检测发现之后，响应能力就成为了关键。在实际攻防过程中，许多人都有下面类似的经历：

杀软报毒→杀掉相关进程→以为没事了→进程复活了→再次kill……

只定位到了恶意进程，但并不明确是谁在反复启动相关进程，只会陷入上述死循环中。

想要跳出循环，要么“break”直接终止处置过程；要么触发了关键结果，“continue”到下一个阶段。

这个关键结果就是攻击源。

OneSEC具备追溯到执行源头的串链能力，可以准确定位钓鱼攻击源头，包括攻击源、事件源、进程源，为响应处置提供准确依据。如下图所示：

在此基础上，OneSEC提供了丰富的响应动作和逆向操作：包括基础的隔离文件、隔离进程、隔离终端、阻断网络，高阶的持久化清理如服务禁用、注册表清理、注册表删除及其逆向操作等，可根据攻击过程自动化生成处置建议，对常见威胁下发自动化响应策略。

如果还是搞不定，也别担心，OneSEC提供了MEDR模块，由微步安全专家协助远程运营。具体包括：

1. 由微步专家团队在云端对OneSEC每日告警进行研判，给出处置建议；
2. 依托于产品能力下发处置动作，协助用户进行处置闭环；
3. 针对高危事件提供整体分析结果，包括时间线、影响面、攻击手法、处置建议等；
4. 协助用户对产品进行策略优化，提高防御和运营效率；
5. 针对APT、流行性木马等风险项，开展威胁分析和拓线，发现潜在的攻击行为；
6. 对安全态势、事件追踪、处置结果等，输出周期性汇总报告。

在特殊时期（你懂得），用户可以开启重保模式，可基于重保情报进行检测与快速响应。

除此之外，OneSEC还提供了一个更为简单有效的模块：OneDNS。作为一款安全DNS服务，当监测到恶意程序反连C2时，OneDNS可根据高精准威胁情报，实时阻断域名解析过程，起到中止网络攻击的目的。

各司其职

事实上，OneSEC共包含了五大模块：EDR、杀毒、MEDR、终端管控和OneDNS。这五大模块各司其职、互不耦合，既可独立部署，也支持按需插件式启用。

所有这些只需要一次安装一个轻量级Agent，而且能够和企业现有的终端安全产品完美兼容。

在OneSEC Mac版的正式发布之后，OneSEC已完成了对Windows终端和Mac终端的全覆盖，安全运营人员可通过服务端对各分支机构、不同类型终端进行统一管理。

随着网络安全防御体系的日渐完善，想要直接突破网络边界已经变得不那么容易。因此，针对办公终端的攻击，变得越来越普遍。得手之后，攻击队可以迅速在办公网内部横向移动，寻找机会拿下靶标。

原文始发于微信公众号（微步在线）：啥？接下来每天都能“钓鱼”？