蓝队技能-应急响应篇&钓鱼攻击&邮件与文件&EML还原&蠕虫分析&线索定性

最新推荐文章于 2024-10-09 09:58:20 发布
最新推荐文章于 2024-10-09 09:58:20 发布
阅读量890 收藏 4
点赞数 6
分类专栏: # 应急响应 文章标签: 蓝队 钓鱼邮件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60571842/article/details/141471028
版权

知识点:

1、应急响应-钓鱼邮件-定性&排查
2、应急响应-恶意文件-应急&分析

一、演示案例-蓝队技能-钓鱼攻击-邮件&附件&分析&排查

如何分析邮件安全性:

1、看发信人地址

在这里插入图片描述
在这里插入图片描述

2、看发信内容信息

3、看发信内容附件

4、看邮件原文源码

邮件原文源码:

在这里插入图片描述

1、看指纹信息(什么发送工具平台)

在这里插入图片描述

2、看发送IP地址(服务器IP或攻击IP)

在这里插入图片描述
获取到IP或者域名都可以扔给威胁情报中心去分析
在这里插入图片描述

3、根据域名寻找邮件服务器地址(利用红队手段渗透获取信息)

4、可能存在个人的ID昵称用户名(利用社工的技术手段进行画像)

附件文件:

沙盒运行,进程分析,定性排查,逆向分析(核心)等
沙箱平台分析:https://s.threatbook.com/
逆向手工分析:https://mp.weixin.qq.com/s/gFbewpQrWNTnsVpDzI1OQw
大量样本分析文章:https://xz.aliyun.com/u/3314

二、真实案例-钓鱼邮件关联出定性木马事件-EML分析还原与文件定性

1、钓鱼邮件定性(威胁情报分析、人工分析)

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

2、定性攻击目的(发信人、内容、附件三方面分析)

在这里插入图片描述
可以把exe上传到云沙箱进行分析,也可以手工分析辅助验证。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
从目前沙箱平台和人工分析可以看出这个exe做了启动项和C2上线,但是还做了其他什么就不知道了,如果想要更深入了解就需要对这个exe进行逆向源码分析。
可以参考别人逆向这个exe的文章:https://mp.weixin.qq.com/s/gFbewpQrWNTnsVpDzI1OQw

三、真实案例-HW真实样本

往往很多时候都是只给一个eml文件,让你去分析。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
如果发件人信息没什么收获,可以看看邮件内是否包含内容附件等。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

应急响应钓鱼邮件应急响应指南
大河之犬的博客
04-14 1115
4、基于域名whois信息,大部分的域名whois的信息乱填的,还有少部分钓鱼网站域名whois信息和被钓正规网站相似。1、先将受害主机进行断网关机处理,如果有主机安全管理设备,先对所有主机资产进行病毒查杀。2、通过查看邮件原文,查看发件人的IP地址,在威胁情报系统上进行查询,扩大信息收集面。检查是否是伪造的相似域名或者和访问服务完全不相关的域名。5、网站备案识别,查看备案信息是否正常网站信息一致。例如,如果你收到一封电子邮件,要求你登录到 “3、不完美的钓鱼文案,有错别字或语法错误。
蓝队技能-应急响应&Web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理&排查口
HACKONE的博客
05-26 382
cmd=whoam,我们在日志中所搜这个漏洞的路径,apache的日志路径logs。成功搜索到了1.14这个IP访问过这个文件,确定攻击者,然后在搜索这个攻击者IP的其他日志确定他的攻击手法和漏洞。访问攻击者访问的页面/default.aspx,发现是登录页面,而攻击者使用的又是sqlmap,且成功注入了。应急人员:在时间和漏洞配合日志没有头绪分析下,就是日志没有东西,也没发现漏洞,可以尝试对后门分析找到攻击行为。我们使用sqlmap检测是否存在SQL注入,发现确实成功了,确定了攻击者的入口。
应急响应钓鱼邮件的识别反制
渗透为止的博客
04-15 1365
常见钓鱼邮件的识别和反制
第七章 常见攻击事件分析--钓鱼邮件
最新发布
weixin_67832625的博客
10-09 878
请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本小张的公司最近遭到了钓鱼邮件攻击,多名员工的终端被控制做为跳板攻击了内网系统,请对钓鱼邮件样本和内网被攻陷的系统进行溯源分析,请根据小张备份的数据样本分析请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本!!!!!
EML Analyzer:邮件分析的利器
gitblog_00691的博客
09-27 825
EML Analyzer:邮件分析的利器 eml_analyzer An application to analyze the EML file 项目地址: https://gitcode.com/gh_mirrors/em/em...
钓鱼邮件处置操作
墨痕诉清风的博客
05-21 564
3. 查看进程对应的文件路径:wmic process get 进程名称(windows)/processid|findstr PID(Linux)第一时间肯定是全员通知,微信群或者钉钉群,还没点击的千万不要点击,已经点击的立刻上报并且做断网隔离,对所有主机做病毒查杀。2. 记录有问题的进程PID,定位进程:tasklist(Windows)/ps aux|grep PID(Linux)4. 杀死进程:taskkill /F PID(windows)/kill -9 PID(Linux)
玄机——第七章 常见攻击事件分析--钓鱼邮件 wp
焦虑的焦虑
07-04 3539
第七章 常见攻击事件分析--钓鱼邮件
蓝队----att&ck&IDS&蜜罐&威胁情报
qi_SJQ_的博客
02-27 1128
hw中各种规则都能在各种hw资料里看到,不再熬yu 蓝队涉及到的技术涉及到应急、溯源、反制、情报、写报告、了解设备等综合性知识。 1.att&ck了解: 外国文档:https://attack.mitre.org/ 视频科普:https://www.zhihu.com/zvideo/1305977738013540352 2.蜜罐技术: 免费蜜罐 HFish:https://hfish.io/ github地址:https://github.com/hacklcx/HFish 部署、使用见官方文.
红队内网攻防渗透:内网渗透之内网对抗:横向移动&入口差异&切换上线&IPC管道&AT&SC任务&Impacket套件&UI插件
06-22
入口差异是指攻击者可能通过多种途径进入内网,例如钓鱼邮件、恶意软件感染、开放的RDP端口等。每种入口都有其独特的风险点和防护措施,因此了解并分析这些差异有助于提升防御能力。 切换上线是一种策略,允许攻击...
应急响应---WEB分析 php&javaweb&自动化工具
qi_SJQ_的博客
02-18 693
一、应急响应流程 保护阶段,分析阶段,复现阶段,修复阶段,建议阶段。 目的:分析攻击时间、攻击操作、攻击结果、安全修复等并给出合理的解决方案。 保护阶段:直接断网,保护现场,看是否能够恢复数据 分析阶段:对入侵过程进行分析,常见方法为指纹库搜索、日志时间分析、后门追查分析、漏洞检查分析等 复现阶段:还原攻击过程,模拟攻击者入侵思路,关注攻击者在系统中应用的漏洞、手法 修复阶段:分析原因后,修补相关系统、应用漏洞,如果存在后门或弱口令,及时清除并整改 建议阶段:对攻击者利用的漏洞进行修补,加强系统安全同时提
重磅-最新网络安全&渗透测试&HVV等学习资料合集(28份).zip
03-23
大规模分布式流量威胁分析取证溯源.pptx 国内SRC漏洞挖掘的一些思路分享.pdf 红队视角下的防御体系构建.pdf 京东护网面试题总结+DD安全工程师笔试问题.pdf 蓝队视角下的防御体系突破.pdf 逻辑漏洞检测.pdf 渗透...
实验整理(一)——钓鱼邮件攻击实验
热门推荐
weixin_57882885的博客
06-23 1万+
一.实验介绍简介 本次课程实验中主要是通过发送qq邮件来进行的一个钓鱼邮件实验。我是通过在kali上部署好的gophish工具向自己的一个QQ邮箱发送一个简单的电子邮件来模拟操作这次实验,并且还可以通过gophish来监测收到钓鱼邮件的收件人的状态。 本次实验中使用的时kali-Linux-2021.2 -vnware-amd64,以及Windows 10 还有用到了QQ邮箱。还有部署在kali下的gophish钓鱼工具。二.gophish的安装1.下载地址:https://gi
伪造邮件钓鱼,要知道的秘密!
code小生
07-27 2943
微信搜索逆锋起笔关注后回复编程pdf领取编程大佬们所推荐的 23 种编程资料!邮件钓鱼入门到入土在大型企业边界安全做的越来越好的情况下,不管是 APT 攻击还是红蓝对抗演练,钓鱼和水坑攻击...
必看!邮件钓鱼入门到入土
Appleteachers的博客
05-07 3156
在大型企业边界安全做的越来越好的情况下,不管是 APT 攻击还是红蓝对抗演练,钓鱼和水坑攻击被越来越多的应用。 一、邮件安全的三大协议 1.1 SPF SPF 是 Sender Policy Framework 的缩写,中文译为发送方策略框架。 主要作用是防止伪造邮件地址。 由于发送电子邮件的传统规范 - 1982年制定的《简单邮件传输协议(SMTP)》对发件人的邮件地址根本不进行认证,导致垃圾邮件制造者可以随意编造寄件人地址来发送垃圾信,而接收者则毫无办法,因为你无法判断收到的邮件到底是谁寄来的。 在SP
【转】钓鱼邮件攻击检测
WangYouJin321的博客
03-07 6921
参考连接: 钓鱼邮件的检测 - 简书 钓鱼邮件因此成为APT攻击的重要手法之一,隐藏在电子邮件中的附件中或者url链接中,在一定条件下激活,进行破坏和传播,轻则占用资源、破坏计算机系统部分功能,重则导致重要数据丢失、窃取机密信息,带来巨大的经济损失。 1. 有效内容提取 拿到一封可疑钓鱼邮件,获取邮件里面的数据,并对数据有效整理和提取 发件人邮箱 发件人IP地址 收件人邮箱 收件人IP地址 邮件附件名称 解析邮件头信息 内容中的URL链接 。。。。。。 2. 信誉度分析 在进行可.
红蓝对抗之邮件钓鱼攻击
Tencent_SRC的博客
09-04 4526
文|腾讯蓝军 jumbo红蓝对抗越加普遍及重要,甚至成为了大型赛事,随之⽽来的是防守方大量部署安全设备,如FW、WAF、IDS、IPS等,想要从Web端深⼊到对⽅内⽹已经困难重重。但是,...
钓鱼邮件检测
WangYouJin321的博客
03-04 1148
社工+伪装技术的"钓鱼"邮件检测特征 实体特征: 1.伪装成吸引人感兴趣的邮件,如升值加薪、岗位调动、假期安排 2.批量钓鱼(多接收方)、鱼叉(针对特定用户)、捕鲸(高危用户) 3.涉及敏感信息(银行卡 手机号 等) 4.大部分情况下来自于外网(也有先攻陷内部单个用户邮箱做为肉机的) 5.立马有下载按钮连接、点击回下载或进入不安全网站 6.url高风险(结合威胁情报、dga域名检测) 7.包含恐吓信息,影响用户情绪(欺诈、彩票等) 统计特征: 1.发件人历史邮箱使用行为异常(异常群发邮件、发送时间) 2.建
程序员伪造邮件钓鱼,从入门到入土!
程序IT圈
03-09 6651
邮件钓鱼入门到入土在大型企业边界安全做的越来越好的情况下,不管是 APT 攻击还是红蓝对抗演练,钓鱼和水坑攻击被越来越多的应用。一、邮件安全的三大协议1.1 SPFSPF 是 Sender...
ATT&CK中文手册:全面网络安全攻防指南
在这一阶段,攻击者可能会利用钓鱼邮件、利用漏洞、社会工程学等手段来获取初始访问权限。 二、Execution(命令执行) 执行阶段指的是攻击者在系统上运行恶意代码或命令的行为。常见的方法包括使用内置工具、脚本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SuperherRo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值