【应急响应】钓鱼邮件的识别与反制

最新推荐文章于 2025-04-02 16:49:16 发布
最新推荐文章于 2025-04-02 16:49:16 发布
阅读量1.1k 收藏 20
点赞数 22
分类专栏: 程序员 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84973069/article/details/138791735
版权

1. 识别

1.1 看发信人地址

在这里插入图片描述
正规企业邮件一般不会代发,即使代发,代发邮箱的域名也是企业域名,上图中企业域名为jd.com,而代发邮箱的域名是163.com,可以判断为非官方邮件。

1.2 看邮箱警示

在这里插入图片描述
遇到含有红色警示的邮件,极有可能为钓鱼邮件

1.3 看发信内容附件

在这里插入图片描述
下载附件后浏览器或杀毒软件报毒,可判断为钓鱼邮件
在这里插入图片描述
如果攻击者对文件做了免杀处理,也可能不会报毒,那么需要对文件进行测试,切勿在物理机上运行
方法一:将文件放入虚拟机运行(运行前先给虚拟机保存快照),观察文件程序的行为,也有可能运行后任何行为都没有,说明攻击者对文件做了反虚拟机处理,也可判断为恶意文件。
方法二:将文件放入云沙箱分析,判定为远控木马。
在这里插入图片描述

2. 溯源攻击者

2.1 有CMS指纹特征

查看邮件原文
在这里插入图片描述
1处X-mail为gophish,一款钓鱼邮件工具,确认为钓鱼邮件,对其进行溯源
在这里插入图片描述
方法一:钓鱼服务器IP为2处显示的IP,gophish的默认端口为3333,如果该服务器邮件程序还开启,则可以访问https//43.139.90.142:3333 ,接下来用红队手段渗透服务器。
在这里插入图片描述
方法二:3处的邮箱地址为攻击者的代发邮箱地址,使用社会工程学手段(存在法律风险,仅在获得合法授权时才可考虑)进行溯源。

2.2 无CMS指纹特征

对发件人域名进行子域名爆破,找到关于邮件系统的子域名

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

应急响应篇】钓鱼邮件应急响应指南
大河之犬的博客
04-14 1107
4、基于域名whois信息,大部分的域名whois的信息乱填的,还有少部分钓鱼网站域名whois信息和被钓正规网站相似。1、先将受害主机进行断网关机处理,如果有主机安全管理设备,先对所有主机资产进行病毒查杀。2、通过查看邮件原文,查看发件人的IP地址,在威胁情报系统上进行查询,扩大信息收集面。检查是否是伪造的相似域名或者和访问服务完全不相关的域名。5、网站备案识别,查看备案信息是否正常网站信息一致。例如,如果你收到一封电子邮件,要求你登录到 “3、不完美的钓鱼文案,有错别字或语法错误。
蓝队技能-应急响应篇&钓鱼攻击&邮件文件&EML还原&蠕虫分析&线索定性
SuperherRo的博客
08-23 887
1、应急响应-钓鱼邮件-定性&排查 2、应急响应-恶意文件-应急&分析
邮件钓鱼平台搭建以及基础使用场景,从零基础到精通,收藏这篇就够了!
最新发布
Libra1313的博客
04-02 1126
现在红蓝对抗,邮件钓鱼越来越火了,简直是居家旅行、攻城拔寨必备良药!但是,项目周期短,还得统计数据,所以这次咱就玩点实在的,教你如何用和快速搭建邮件钓鱼平台,再来一场实战演练!好了,概念讲完了,咱们开始搭环境吧!
应急响应-钓鱼邮件的处理思路溯源及其反制
告白的博客
08-14 4166
默认端口服务,是否架设有其他服务,框架是否存在漏洞等,将收集到的信息留作溯源信息收集。内容会指引诱导你点击某些网址,或者下载某些程序文件,将相关样本可以在沙箱运行后尝试得到一些攻击者的服务器等基础设施的信息,留作溯源用。根据内容的诱导性判断是否为可以的邮件,以及内容中设计到的一些信息,二维码等,留存提取出ip,域名邮件等地址,留作后续的溯源处理。下面为正常的邮件,可以看到对方的邮箱地址,cms信息,其他邮件可能会获取到邮件头信息,4.邮件的详情查看,获取域名,对方基础设施信息,ip等信息。
应急响应】拒绝服务&钓鱼指南&DDOS压力测试&邮件反制分析&应用日志
今天是几号的博客
04-23 965
红队APT钓鱼邮件内容分析(邮件源代码 发送方IP、X-Mailer、钓鱼工具Gophish、指纹特征等)3、根据域名寻找邮件服务器地址(利用红队手段渗透获取信息)1、协议口令爆破事件(以SQLserver、RDP为例)了解:数据库日志,系统日志,中间件日志,其他应用日志等。2、口令传递横向事件(演示域内横向移动日志记录)防御手段:CC防火墙,CDN服务,高防服务等。2、看发送IP地址(服务器IP或攻击IP)1、看发信人地址(邮件代发、相似域名)1、看指纹信息(什么发送工具平台)
钓鱼邮件检测
WangYouJin321的博客
03-04 1147
社工+伪装技术的"钓鱼"邮件检测特征 实体特征: 1.伪装成吸引人感兴趣的邮件,如升值加薪、岗位调动、假期安排 2.批量钓鱼(多接收方)、鱼叉(针对特定用户)、捕鲸(高危用户) 3.涉及敏感信息(银行卡 手机号 等) 4.大部分情况下来自于外网(也有先攻陷内部单个用户邮箱做为肉机的) 5.立马有下载按钮连接、点击回下载或进入不安全网站 6.url高风险(结合威胁情报、dga域名检测) 7.包含恐吓信息,影响用户情绪(欺诈、彩票等) 统计特征: 1.发件人历史邮箱使用行为异常(异常群发邮件、发送时间) 2.建
5、应急响应-拒绝服务&钓鱼识别&DDOS压力测试&邮件反制分析&应用日志
m0_65842464的博客
01-27 872
了解和分析应用日志,识别钓鱼邮件并溯源反制,DDOS攻击CC攻击的测试和防御CC攻击(即“拒绝服务攻击”的一种攻击形式)是一种通过向目标服务器发送大量请求来使其无法正常工作的攻击方式。攻击者通常使用大量的计算机或者僵尸网络来发起攻击,从而使目标服务器的带宽、CPU或内存等资源被耗尽,导致服务器无法正常响应请求。CC攻击是一种常见的网络攻击方式,可以对网站、应用程序、网络服务等造成。DDOS攻击是一种通过向目标服务器或网络发送大量流量或请求来使其无法正常工作的攻击方式。
勒索病毒应急响应自救手册(第二版).zip
05-11
《勒索病毒应急响应自救手册(第二版)》是一份非常重要的资料,它详细阐述了当前互联网环境中日益猖獗的勒索病毒问题。勒索病毒,作为一种恶意软件,通过加密用户的文件并要求支付赎金来换取解密密钥,对个人和企业...
#渗透测试#红蓝攻防#HW#经验分享#溯源反制
soc的博客
11-27 854
1、了解防守单位的网络拓扑,了解网络地址的分配和网络策略的要求;2、了解哪些设备用于安全防护:哪些厂家的流量分析设备,这些设备有什么特点能有什么效果,在溯源反制的时候能获取到哪些信息;3、了解内网IP地址的分布和走向:要了解安全设备接入的位置,镜像了哪部分流量,是否包含办公网等等(例如:设备是否为全流量设备,是否可以看到reqresp的流量信息等等);4、了解该单位的正常的业务功能,用于误报流量的筛选(sso登录、网上办理、域等等);
内网入口防护-钓鱼邮件检测治理.pdf
06-15
内网入口防护-钓鱼邮件检测治理.pdf
PhishingEmailDetection:基于机器学习的网络钓鱼电子邮件检测工具
03-20
PhishingEmailDetection:基于机器学习的网络钓鱼电子邮件检测工具
网络攻防基础:常见威胁、防护措施应急响应
- **网络钓鱼(Phishing)**: 通过仿真信任实体的方式,诱导个人或组织泄露敏感信息,如账号密码、信用卡信息等。 - **拒绝服务攻击(DoS/DDoS)**: 大量伪造请求或流量轰炸目标系统或网络,导致服务不可用。 - **...
蓝队应急响应第四天&钓鱼邮件
weixin_39953838的博客
01-14 331
物是人非事事休,欲语泪先流。
识别钓鱼邮件小技巧
weixin_45164548的博客
04-29 1114
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
【转】钓鱼邮件攻击检测
WangYouJin321的博客
03-07 6920
参考连接: 钓鱼邮件的检测 - 简书 钓鱼邮件因此成为APT攻击的重要手法之一,隐藏在电子邮件中的附件中或者url链接中,在一定条件下激活,进行破坏和传播,轻则占用资源、破坏计算机系统部分功能,重则导致重要数据丢失、窃取机密信息,带来巨大的经济损失。 1. 有效内容提取 拿到一封可疑钓鱼邮件,获取邮件里面的数据,并对数据有效整理和提取 发件人邮箱 发件人IP地址 收件人邮箱 收件人IP地址 邮件附件名称 解析邮件头信息 内容中的URL链接 。。。。。。 2. 信誉度分析 在进行可.
借力AI,助力网络钓鱼邮件)检测
山石网科的博客
06-13 1402
利用浏览器的地址栏欺骗漏洞,钓鱼攻击者可以实现在真实的URL地址的情况下伪造任何想要伪造的网页内容,而同时,利用跨域脚本漏洞,实施跨域名或跨页面的网站内容修改,当用户访问URL时,控制用户访问的内容,控制返回一个钓鱼网页的内容。基于大数据的网络钓鱼邮件)检测是具有里程碑意义的,新时代背景下,思路聚焦于对网络钓鱼邮件)的特征提取,采用各种机器学习模型、深度学习模型(包括但不限于NLP、CV、推荐等不同领域的神经网络模型),对网络钓鱼邮件)的文本内容特征、图像特征进行二分类建模和预测。
基于LLM的钓鱼邮件检测实践(含代码)
云上笛暮
10-29 1492
本文以Google colab 环境,基于ollama+gemma2实现钓鱼邮件的分析,代码实现逻辑主要分为以下八步。
钓鱼邮件中的木马回连ip
01-06
### 钓鱼邮件中的木马回连IP检测防御 #### 通过网络流量分析识别异常连接 对于企业级环境而言,部署全面的日志记录和监控机制至关重要。任何来自内部主机向外部未知位置发起的数据传输请求都应被密切监视并标记为潜在威胁行为[^1]。 #### 利用沙箱技术模拟执行附件 当接收到带有可疑链接或文件的电子邮件时,在隔离环境中打开这些内容可以帮助安全团队观察其真实意图而不影响生产系统。现代高级沙盒解决方案不仅能够捕捉到恶意软件试图建立远程控制通道的行为模式,还可以提供有关攻击者基础设施的关键情报信息[^2]。 #### 实施严格的DNS策略 配置防火墙规则阻止对已知不良域名单内的所有通信尝试;同时启用实时更新功能确保数据库处于最新状态。这一步骤能有效减少因员工不慎点击而触发的风险事件发生概率。 #### 教育用户增强意识 定期开展针对全体员工的安全培训课程,强调谨慎对待未经验证来源的信息的重要性,并教授基本技巧来辨别可能存在的欺诈企图——例如仔细核对发送方身份以及避免随意下载不明附件等操作。 ```python import requests def check_malicious_ip(ip_address): malicious_ips = ["43.139.90.142"] # 假设这是已知的恶意IP列表 if ip_address in malicious_ips: print(f"{ip_address} 是一个已知的恶意IP地址") return True else: response = requests.get(f"https://api.example.com/ip/{ip_address}") data = response.json() if "malicious" in data and data["malicious"]: print(f"{ip_address} 被第三方服务标记为恶意") return True else: print(f"{ip_address} 不是已知的恶意IP地址") return False check_malicious_ip("43.139.90.142") # 示例调用函数检查特定IP是否属于恶意活动的一部分 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值