首页 > 其他分享 >实网攻防演练丨面对鱼叉式网络钓鱼攻击,蓝队如何防御?

实网攻防演练丨面对鱼叉式网络钓鱼攻击,蓝队如何防御?

时间:2023-12-14 15:22:05浏览次数:26  
标签:网络安全 攻防 钓鱼 攻击 实网 蓝队 网络 邮件 鱼叉

大家好,我是i春秋的老朋友恶灵退散,95后安全运营工程师,信息安全专业,目前在职于中国某通信厂商做蓝军建设的工作。

很高兴受邀i春秋的采访,在本期访谈中,我将给大家介绍下真实的实网攻防经历,以及作为蓝军的经验感悟和知识分享,如果你也是网络安全爱好者,或者对实网攻防感兴趣,欢迎阅读本篇内容,也可随时找我交流切磋,一起学习进步 !

 

在实网攻防演练中,有哪些惊心动魄的时刻,或印象深刻的经历?

在最近一次的实网攻防演练中,我作为蓝军负责保障企业的网络安全,包括不限于监控企业所有的安全设备、网站不被篡改、业务能够正常运行等。明确了职责后,我开始对企业所有的安全设备进行仔细排查,杜绝可能存在的安全隐患。

然而,尽管我已经做了充分的准备,但仍然未能预见到那些黑客的狡猾,他们瞄准了我们的区域人员,并向其发送了钓鱼邮件。幸运的是,我们的内网防御系统及时发现并阻止了这一攻击。

通过查看系统日志和分析网络行为,我锁定了发起攻击的IP地址,这个IP地址揭示了被黑客利用的那个内部人员的身份。我们立即采取行动,对该设备进行了杀毒操作,成功避免了进一步的损失。

网络攻防技术发展到今天,红队可以用到的攻击手段有很多,为什么依旧热衷于钓鱼邮件攻击呢?

对于绝大多数企业来说,邮件是一个攻击成本低但防护有难度的互联网服务,故而钓鱼邮件攻击成了针对企业最简单有效、也最具迷惑性的攻击方法,也是黑客获取数据的主要途径,在世界范围内每年都造成巨大损失,严重威胁数据安全和企业经营。

网络钓鱼攻击已成为目前最常见且成功率极高的攻击手段之一,这里着重介绍一种网络钓鱼的特殊类型:鱼叉式网络钓鱼攻击。

 

鱼叉式网络钓鱼攻击是针对特定组织内的特定目标个体,相对于普通钓鱼攻击来说,针对的目标更加精准,黑客花时间研究他们的预期目标,通过编写与目标相关性极强的消息来完成攻击。

通常,鱼叉式网络钓鱼攻击使用电子邮件欺骗,电子邮件“发件人”可能是目标信任的人,例如社交网络中的个人、密友或商业伙伴,使得受害者难以发觉,具有精准且较强的欺骗性,然后将带有恶意附件链接的电子邮件发给目标,并且通过加密等手段绕过邮件过滤器,一旦下载或者点击附件恶意程序,病毒就会立即执行,为黑客进一步渗透攻击做准备。

 

举个例子,假如我现在是红队,想要发起一次钓鱼攻击,可以提前在网上收集已泄露的数据库用户名和密码,利用这些信息进行邮箱用户撞库攻击,获取可以登录到企业内部邮箱的合法邮箱账号,通过导出通信录中所有联系人的联系方式,进行弱口令爆破攻击。

另外,还可以采用发件人伪造的方式进行邮件伪造。利用第三方或自行搭建邮件服务,通过收件服务器未进行严格SPF校验的漏洞,伪造发件人身份,这样的方法隐蔽性较强,能够绕过一些安全措施。

鱼叉攻击具有易利用、实施成本低、高精准度、强隐蔽性的特点,受害者在不知情的情况下,一次简单的点击,就可以为黑客开启一扇实施攻击的“任意门”,因此鱼叉攻击也深受黑客组织的青睐。

针对鱼叉式钓鱼攻击,防御方法有哪些?

鱼叉式网络钓鱼,虽然看上去花样百出,套路层出不穷,但是利用一些强大的软件是可以精准防御的,像比较知名的Paloalto防火墙,它有针对网络钓鱼攻击检测和分类功能,可以对电子邮件中的链接进行分析,当系统判定是网络钓鱼攻击的一部分时,防火墙将立即产生告警,并生成相应的记录,这些信息会及时通知网关人员,以便他们采取必要的措施来保护企业的网络安全。

与此同时,还有一些防火墙产品可以为终端提供保障,通过事前、事中、事后不同的阶段防护各类威胁,包括0-day、高级APT以及新型恶意软件等,帮助用户构建强大的终端安全防护平台。

除了强大的软件防御,内部人员的网络安全意识和行为也至关重要,这里可以拓展讲讲吗?

在实网攻防演练中,我们不仅需要关注技术防御,更要持续加强内部人员的网络安全意识培训,每年都会组织1—2期的安全培训,帮助员工了解网络攻击的常见手段和防范措施,提高安全意识和防护能力。不同于传统的填鸭式枯燥学习,我们现在的培训都以寓教于乐的形式,通过线上的打卡学习、游戏互动,在轻松愉快的氛围中,就掌握了安全小技巧。

 

与此同时,建立网络安全规章制度也是至关重要的:

  • 像我们的企业邮箱一定要制定专门的风控策略,只有在办公网络以及可信的设备上才能通过密码登录,否则需要通过安全码等两步验证方式;
  • 对于群发邮件这样的敏感操作,需要提前申报审批;
  • 凡是涉及财务的敏感操作一定要和行政或者财务部门的工作人员进行核实;
  • 所有密码设置都是12位以上的数字、字母、特殊符号相结合,并且会定期更新。

最后,定期进行网络安全演练也是非常必要的。帮助员工了解网络攻击的真实场景和应对方法,提高应急响应能力。下面这张图是我们企业连续三年进行的钓鱼邮件演练,通过不同的域名、模板、手段进行钓鱼邮件攻击。

大家可以看到,能够识别出钓鱼邮件的人员已经从最初的71.2%提升至92.5%,而且,在钓鱼演练期间还有很多员工主动联系HR或者IT询问或反馈,这就是网络安全意识持续提升的意义,让每个人都能成为企业的安全防线。

本期知识点分享到这里就结束了,感谢大家的阅读,如果也你对网络钓鱼感兴趣,或者是对钓鱼邮件有更深入的研究,欢迎在文末留言,大家一起互动讨论。

工作之余,我经常与朋友相约打羽毛球或玩游戏,作为放松身心的活动。身体是革命的本钱,劳逸结合非常重要,希望大家都能保持良好的身心状态。

标签:网络安全,攻防,钓鱼,攻击,实网,蓝队,网络,邮件,鱼叉
From: https://www.cnblogs.com/wangluo-anquan/p/17901249.html

相关文章

  • 【HTB】Sherlocks-Bumblebee 蓝队 easy
    Task1题目:外部承包商的用户名是什么?外部承包商通过访客WiFi访问了Forela的内部论坛,他们似乎窃取了管理用户的凭据!通过内部论坛窃取管理用户的凭据,首先需要注册一个普通用户。通过访客WiFi访问,ip肯定是内网ip1、进入sqlite3tar-zxvfincident.tgz#解压sqlit......
  • 特殊字符:安全攻防中容易遗漏的细节
    本文分享自华为云社区《【安全攻防】深入浅出实战系列专题-特殊字符校验》,作者:MDKing。特殊字符校验的背景SQL注入、XSS等常见的安全攻击场景会涉及到一些特殊字符的利用。尤其是界面输入框、API接口可支持输入字符串的情况,如果对来历不明的用户输入如果不加防范,很容易产生......
  • 【Web攻防之业务安全实战指南】第5章 业务办理模块测试
    5.1订单ID篡改测试5.1.1测试原理和方法在有电子交易业务的网站中,用户登录后可以下订单购买相应产品,购买成功后,用户可以查看订单的详情。当开发人员没有考虑登录后用户间权限隔离的问题时,就会导致平行权限绕过漏洞。攻击者只需注册一个普通账户,就可以通过篡改、遍历订单id,获得其......
  • 【HTB】Sherlocks-Litter 蓝队 easy
    Task1题目:乍一看,这次攻击似乎可疑的是哪种协议?首先查看协议统计可以发现,QUIC使用最多,其次是TCP,最后是DNS短时间内通过大量DNS数据包,比较奇怪答案:DNSTask2题目:我们的主机与另一台主机之间似乎存在大量流量,可疑主机的IP地址是多少?可以看见192.168.157.145、......
  • “古剑山”第一届全国大学生网络攻防大赛-Crypto WP
    CryptobabyRSA题目信息p=10557060480607393156040418736281630895040877491596075167695884580033587151860045514604024031420460694464109891485815938658886878598710052458169904360535195234858613255345870229839390747695594699084944203444188274827818114850332930966......
  • 湖南省网络攻防邀请赛 RE 题解
    ez_apkk解题过程:将apk拖入jadx,查看MainActivity,发现是简单RC4加密,密钥是“55667788”,最后再将加密结果+1publicStringEncrypt(StringplainText,Stringkey){int[]S=newint[256];byte[]K=newbyte[256];char[]cArr={'\n','+',18......
  • CTfpwn攻防世界int_overflow对于strlen的利用以及汇编是神
    分析这题题目已经在暗示用int数据的overflow了,不过不急,先分析一下。保护基本没啥保护,也挺好,适合不用搞太多花里胡哨的泄露,只需理解这题想告诉你的知识。后门函数看到有一个whatisthis函数,正是我们要的catflag函数。main函数login函数main函数里需要的操作很简单,只需输入一个1就......
  • 攻防世界 supersqli
    打开页面,发现有GET请求传递的SQL,依次尝试"1'--","1'#",从报错可知,#成功注释。构造payload:1';showdatabases;#,成功,判断存在堆叠注入。尝试SELECT,发现查询语句都被过滤了,思考绕过。对select*from`1919810114514`;进行16进制编码,获得0x73656C656374202A206......
  • 《黑客攻防技术宝典》阅读笔记
    1.密码破解与加密探讨了不同类型的密码攻击,包括字典攻击和暴力攻击。重点介绍了密码哈希和加盐的概念,以及如何防止RainbowTable攻击。2.Web应用程序安全强调了常见的Web漏洞,如SQL注入和跨站脚本攻击(XSS)。提供了一些建议,帮助开发者编写更安全的代码,以防范常见的Web攻击......
  • 【re】[广东省大学生攻防大赛 2022]pyre --爆破字符
    附件下载下来,解压,发现是一个python打包的exe这里用pyinstxtractor进行反编译,后面会得到一个文件夹,里面有一个pyc文件这里可以用进行网站进行对pyc进行反编译:在线Pythonpyc文件编译与反编译(lddgo.net)反编译的python结果如下:#Visithttps://www.lddgo.net/string/pyc-com......