【应急响应】钓鱼邮件的识别与反制(1)

于 2024-05-13 10:28:20 发布
阅读量630 收藏 5
点赞数 19
分类专栏: 程序员 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84973048/article/details/138791702
版权

1. 识别

1.1 看发信人地址

在这里插入图片描述
正规企业邮件一般不会代发,即使代发,代发邮箱的域名也是企业域名,上图中企业域名为jd.com,而代发邮箱的域名是163.com,可以判断为非官方邮件。

1.2 看邮箱警示

在这里插入图片描述
遇到含有红色警示的邮件,极有可能为钓鱼邮件

1.3 看发信内容附件

在这里插入图片描述
下载附件后浏览器或杀毒软件报毒,可判断为钓鱼邮件
在这里插入图片描述
如果攻击者对文件做了免杀处理,也可能不会报毒,那么需要对文件进行测试,切勿在物理机上运行
方法一:将文件放入虚拟机运行(运行前先给虚拟机保存快照),观察文件程序的行为,也有可能运行后任何行为都没有,说明攻击者对文件做了反虚拟机处理,也可判断为恶意文件。
方法二:将文件放入云沙箱分析,判定为远控木马。
在这里插入图片描述

2. 溯源攻击者

2.1 有CMS指纹特征

查看邮件原文
在这里插入图片描述
1处X-mail为gophish,一款钓鱼邮件工具,确认为钓鱼邮件,对其进行溯源
在这里插入图片描述
方法一:钓鱼服务器IP为2处显示的IP,gophish的默认端口为3333,如果该服务器邮件程序还开启,则可以访问https//43.139.90.142:3333 ,接下来用红队手段渗透服务器。
在这里插入图片描述
方法二:3处的邮箱地址为攻击者的代发邮箱地址,使用社会工程学手段(存在法律风险,仅在获得合法授权时才可考虑)进行溯源。

2.2 无CMS指纹特征

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84973048
关注
  • 19
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网入口防护-钓鱼邮件检测与治理.pdf
06-15
内网入口防护-钓鱼邮件检测与治理.pdf
钓鱼邮件自动化分析流程.docx
04-16
钓鱼邮件自动化分析流程
“钓鱼“邮件检测
WangYouJin321的博客
03-04 916
社工+伪装技术的"钓鱼"邮件检测特征 实体特征: 1.伪装成吸引人感兴趣的邮件,如升值加薪、岗位调动、假期安排 2.批量钓鱼(多接收方)、鱼叉(针对特定用户)、捕鲸(高危用户) 3.涉及敏感信息(银行卡 手机号 等) 4.大部分情况下来自于外网(也有先攻陷内部单个用户邮箱做为肉机的) 5.立马有下载按钮连接、点击回下载或进入不安全网站 6.url高风险(结合威胁情报、dga域名检测) 7.包含恐吓信息,影响用户情绪(欺诈、彩票等) 统计特征: 1.发件人历史邮箱使用行为异常(异常群发邮件、发送时间) 2.建
【转】钓鱼邮件攻击检测
WangYouJin321的博客
03-07 6623
参考连接: 钓鱼邮件的检测 - 简书 钓鱼邮件因此成为APT攻击的重要手法之一,隐藏在电子邮件中的附件中或者url链接中,在一定条件下激活,进行破坏和传播,轻则占用资源、破坏计算机系统部分功能,重则导致重要数据丢失、窃取机密信息,带来巨大的经济损失。 1. 有效内容提取 拿到一封可疑钓鱼邮件,获取邮件里面的数据,并对数据有效整理和提取 发件人邮箱 发件人IP地址 收件人邮箱 收件人IP地址 邮件附件名称 解析邮件头信息 内容中的URL链接 。。。。。。 2. 信誉度分析 在进行可.
应急响应钓鱼邮件识别反制
渗透为止的博客
04-15 630
常见钓鱼邮件识别反制
全球最大电子邮件营销公司遭黑,消费者如何反钓鱼?
亚信安全-云安全博客
04-26 3529
4月初发生全球最大电子邮件营销公司遭黑,多家大型企业名单外泄事件, 这家全球最大的电子邮件营销公司Epsilon表示,该公司发现黑客侵入系统,部分客户数据可能遭窃取。
攻防演练中最便捷的攻击途径——钓鱼邮件.pdf
09-18
攻防演练中最便捷的攻击途径——钓鱼邮件 安全管理 网络与基础架构安全 云安全 安全架构 网络信息安全
高校账号盗用监控及钓鱼邮件检测
04-20
高校账号盗用监控及钓鱼邮件检测
邮件钓鱼攻击溯源.pdf
07-05
邮件钓鱼攻击溯源
小试牛刀 _ 识别钓鱼网站就靠这个.pdf
09-18
小试牛刀 _ 识别钓鱼网站就靠这个 应用安全 法律法规 威胁情报 渗透测试 零信任
高校邮箱账号盗用监控及钓鱼邮件检测-上海交通大学
CACTER_S的博客
07-19 2760
日志模式匹配电子邮件原始日志通常由众多进程组成,不同的进程具有不同的日志格式,同时日志中时常会出现异常数据,如非ASCII字符,不完整数据等;多因子模型不同的特征值拥有不同的权重,和已知垃圾邮件/钓鱼邮件样本进行相似性匹配,需要做相应的数据标记以及建模工作;日志事件提取日志处理的关键任务之一是从分散的日志行中提取完整的邮件传输事件,通常需要用队列ID等关键字进行聚合;左下图显示了最近24小时来自163的发件人排名Top10;右下图显示了最近24小时来自QQ的发件人排名Top10;.........
记一次对钓鱼邮件的分析
Sp4rkW的博客
02-24 1万+
0x01、前言 前几天收了个钓鱼邮件,由于一直有各种事情,没有做完整的分析,趁着周末,理了理分析思路,整理一篇博客与大家分享 事情是这样的,突然qq邮箱收到一个来源自我的一个群发的通知。至于为什么发现是钓鱼邮件: 哎,这年头还有几个群有事情通知用qq邮件,不都是群公告么? 发邮件就发邮件,有几个邮件后面带这种怪怪符号的? download附件中的这个html文件,直接使用txt打开。用vsco...
勒索软件攻击的第一步就是钓鱼邮件 从概念到防御思路 这里面都有了
weixin_33884611的博客
09-01 2189
近期勒索软件及其攻击事件频繁,从中我们可看到一个规律,大多数是用钓鱼邮件的形式入侵的,钓鱼攻击常用的手段归纳起来主要分为两类, 第一类主要通过漏洞触发,包括目标网站服务器漏洞(如XSS、SQL注入),第三方引用内容的问题(如IFRAME挂马),网站IT支撑环境相关的DNS、HTTPS、SMTP服务缺陷(如DNS劫持),以及客户端终端环境存在的隐...
防止网络钓鱼邮件攻击的10 种有效方法
Spontaneous_0的博客
01-22 891
网络钓鱼攻击被认为是企业和个人面临的最常见的安全挑战之一。据统计全球每年因电子邮件诈骗而损失数十亿美元,去年的损失攀升至 27 亿美元。对于企业而言,利用用户身份验证、安全邮件网关和邮件身份验证防御等高级安全技术至关重要。不幸的是,网络钓鱼诈骗继续进入电子邮件收件箱 - Verizon透露,近30%的目标收件人打开网络钓鱼电子邮件。当然网络钓鱼邮件也并非不可防御。以下10条准则可以保证自身的网络安全。
应急响应】拒绝服务&钓鱼指南&DDOS压力测试&邮件反制分析&应用日志
今天是几号的博客
04-23 699
红队APT钓鱼邮件内容分析(邮件源代码 发送方IP、X-Mailer、钓鱼工具Gophish、指纹特征等)3、根据域名寻找邮件服务器地址(利用红队手段渗透获取信息)1、协议口令爆破事件(以SQLserver、RDP为例)了解:数据库日志,系统日志,中间件日志,其他应用日志等。2、口令传递横向事件(演示域内横向移动日志记录)防御手段:CC防火墙,CDN服务,高防服务等。2、看发送IP地址(服务器IP或攻击IP)1、看发信人地址(邮件代发、相似域名)1、看指纹信息(什么发送工具平台)
应急响应-钓鱼邮件的处理思路溯源及其反制
告白的博客
08-14 2121
默认端口服务,是否架设有其他服务,框架是否存在漏洞等,将收集到的信息留作溯源信息收集。内容会指引诱导你点击某些网址,或者下载某些程序文件,将相关样本可以在沙箱运行后尝试得到一些攻击者的服务器等基础设施的信息,留作溯源用。根据内容的诱导性判断是否为可以的邮件,以及内容中设计到的一些信息,二维码等,留存提取出ip,域名邮件等地址,留作后续的溯源处理。下面为正常的邮件,可以看到对方的邮箱地址,cms信息,其他邮件可能会获取到邮件头信息,4.邮件的详情查看,获取域名,对方基础设施信息,ip等信息。
使用ChatGPT检测网络钓鱼(系列二)
Zhs的博客
09-11 1004
为了从API响应中提取检测结果,如果JSON回复中的phishing或者suspicious_domain字段的值为true,则将回复定义为钓鱼网站。相反,如果两个字段都为false,则将回复标记为非钓鱼网站。由于ChatGPT输出的概率波动,某些回复不包含机器可读的JSON文本,例如使用单引号而不是双引号。在答复中,GPT-4的2个(0.2%)和GPT-3.5(1.3%)导致了JSON解析错误。然而,由于所有回复都包含每个键的相应答案,因此我们启发式地解析和聚合它们。
再谈钓鱼邮件
最新发布
04-29 917
网关上拦截的钓鱼邮件基本可以分三个类别:链接钓鱼邮件、附件钓鱼邮件以及邮件头伪造钓鱼邮件(或者叫仿冒邮件),分析共计手法,加强自身防御体系建设。
红蓝对抗-反制
热门推荐
Shanfenglan's blog
01-19 6万+
CATALOG1.前言2. 1.前言 初次接触反制技术,写一个文档作为记录。 2.
钓鱼邮件系统功能与优势
06-08
钓鱼邮件系统的主要功能是提供针对钓鱼邮件的检测、预警和防范措施,以保护用户的信息安全和隐私。具体功能和优势包括: 1. 邮件头部信息检查:通过对邮件头部信息进行检查,可以及时发现和过滤掉一些钓鱼邮件,提高邮件处理的效率和准确性。 2. 邮件内容检查:通过对邮件正文内容进行检查,可以识别出一些常见的钓鱼手段,如欺诈、虚假的链接、恶意附件等,从而提高用户的信息安全和隐私保护。 3. 域名验证:通过验证发件人的域名是否合法,可以有效防范假冒域名的钓鱼邮件,提高邮件的可信度和可靠性。 4. 可信发件人列表:建立可信发件人列表,可以过滤掉一些常规的钓鱼邮件,减轻用户的处理负担,提高邮件处理的效率和准确性。 5. 用户教育与防范:通过向用户提供相关的教育和防范措施,增强用户的防范意识,让用户能够识别和避免钓鱼邮件,从而提高用户的信息安全和隐私保护。 6. 实时监控和预警:通过实时监控邮件系统的安全状态,及时发现和处理钓鱼邮件的威胁,提高系统的安全性和鲁棒性。 反钓鱼邮件系统的优势在于提供了全面、实时、高效的钓鱼邮件检测和防范措施,可以有效保护用户的信息安全和隐私,减轻用户的处理负担,提高邮件系统的安全性和鲁棒性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值