一起社工钓鱼事件,人员安全意识较弱,导致电脑中毒。
——前言
阅读声明:纯技术分享,文章仅供参考,文中的知识或工具仅限于读者对自己所负责的网站、服务器等进行学习研究和授权测试,严禁用于一切未授权测试和非法测试,否则产生的一切后果自行承担,与本文作者无关!!!
0x00 响应
1.事件
多位对外宣发的运营工作者,在社交工具上遭受攻击者伪造的企业账户进行钓鱼攻击,受害者没有对对方身份和事件进行二次确定,盲目的接受攻击者的指引进行高危操作,最终导致电脑被成功植入木马加载器。
2.信息收集
-
受害机有安装商业版杀毒软件,EDR等安全防护软件;
-
还没有异常远控行为,和信息收集痕迹;
-
安全设备没有存在横向渗透告警,即恶意程序没有进行横向传播行为。
0x01 阻断
1.网络处理
通过响应信息,可以确定此次事件为社工钓鱼事件,受害机为运营人员日常办公机子,确保防止敏感数据丢失或泄露,直接对受害机进行断网处理。
2.传播控制
-
对受害机网卡进行禁用。
-
对社工钓鱼行为马上进行安全公告,通知相关人员,防止出现受害者。
-
对相关域名进行封禁处理。
0x02 分析
时间:15:49,有相关人员收到客户信息,反馈截图问题,这里这位同事安全意识较强,怀疑自己被人假冒,让客户不要点击访问可疑链接,并找运维同事排查
同一时间,敏感性人员收到伪造的运营人员的钓鱼信息,如下图
运营同事的伪造账户多了“Z”后缀,如下图
通过安全设备对钓鱼链接访问行为进行溯源,到时间:15:53,已有一位运营人员被钓鱼,并运行木马加载器程序,
病毒程序运行时间:15:50:01
安排安全人员立即对客服终端进行排查,和断网处理
钓鱼页面是个前端静态页的商户后台管理系统
登录后,点击模块会诱导使用者进行下载“木马加载器”,即病毒程序
下载链接有多个:
https://down[.]okpaycn[.]com/ToolInstaller-Vpn.zip
https://down[.]letskcvpn[.]com/ToolInstaller-Vpn.zip
木马下载时间:15:49
解压时间:15:50
运行“木马加载器”,时间:15:51
病毒程序运行时,不会有任何窗口和弹框,只是后台程序,偷偷释放木马文件,并设置后门
后门一、计划任务后门,文件目录:C:Usersadmin3e0i20ii.cab
后门二、注册表自启动后门
备份后门文件目录:C:UsersadminAppDataRoaming�D9AD870-7BD6-4BDB-9F84-372925F29698
木马分析情况:
病毒扫描,63个杀毒引擎,只有两个杀毒引擎报毒
动态扫描:在线沙箱判定为恶意文件
时间释放路径
0x03 清除
1.结束病毒程序进程;
2.删除整个病毒目录;
3.删除病毒调用计划任务;
4.删除病毒调用注册表。
0x04 加固
1.对人员进行安全意识培训和安全办公准则督导;
2.加强安全体系对钓鱼链接信誉的研判,自动封禁可疑链接;
3.建设企业安全文化,张贴安全标语和分享安全事件案例。
原文始发于微信公众号(黑域之路):社工钓鱼——应急响应
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论