应急响应-钓鱼邮件的处理思路溯源及其反制

最新推荐文章于 2024-05-21 17:39:55 发布
最新推荐文章于 2024-05-21 17:39:55 发布
阅读量2.3k 收藏 7
点赞数 2
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53577336/article/details/132275685
版权

0x00 钓鱼邮件的危害

1.窃取用户敏感信息,制作虚假网址,诱导用户输入敏感的账户信息后记录
2.携带病毒木马程序,诱导安装,使电脑中病毒木马等
3.挖矿病毒的传输,勒索病毒的传输等等

0x01 有指纹的钓鱼邮件的溯源处理

从邮件中获取相关的信息
1.发件人地址:是否是代发邮件,一般来讲代发邮件的域名与主域名一致,如不一致,谨防钓鱼

2.发件内容的研判
根据内容的诱导性判断是否为可以的邮件,以及内容中设计到的一些信息,二维码等,留存提取出ip,域名邮件等地址,留作后续的溯源处理
3.发件附件的处置
内容会指引诱导你点击某些网址,或者下载某些程序文件,将相关样本可以在沙箱运行后尝试得到一些攻击者的服务器等基础设施的信息,留作溯源用
4.邮件的详情查看,获取域名,对方基础设施信息,ip等信息
下面为正常的邮件,可以看到对方的邮箱地址,cms信息,其他邮件可能会获取到邮件头信息,
例如X-Mailer:gophish 则为gophish搭建的钓鱼平台,可以做该平台作反制相关操作,对方是否使用默认的搭建方式?默认端口服务,是否架设有其他服务,框架是否存在漏洞等,将收集到的信息留作溯源信息收集。

借助一张网上的邮件信息作为对比

5.沙箱运行样本文件,从中提取相关域名ip信息

0x02 无指纹的邮件处置

1.在线邮箱子域名爆破,进行下一步的信息收集
2.邮箱社工,获取到的邮箱ID昵称等,在网络上大范围的溯源

0x03 钓鱼邮件的应急处理

1.邮件上报安全组,管理员部门,防止危害扩散
2.处理已受钓鱼危害的机器员工
3.屏蔽办公区对该钓鱼邮件的站点域名,协助应急专家组协调处置
4.客户主机全盘查杀
5.假期钓鱼邮件宣讲防范意识

告白热
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
46-1 护网溯源 - 钓鱼邮件溯源
weixin_43263566的博客
06-08 310
360安全大脑沙箱云显示,该1111.exe文件存在危险,因此在解压时需要谨慎操作,以免触发木马程序。对钓鱼邮件中的木马程序1111.exe文件进行了分析,提交了360安全大脑沙箱云和微步在线云沙箱。建议使用360压缩软件进行解压,同时注意系统安全,避免不必要的风险。
邮件钓鱼攻击溯源.pdf
07-05
邮件钓鱼攻击溯源
应急响应钓鱼邮件的识别与反制
渗透为止的博客
04-15 729
常见钓鱼邮件的识别和反制
钓鱼邮件处置操作
最新发布
墨痕诉清风的博客
05-21 311
3. 查看进程对应的文件路径:wmic process get 进程名称(windows)/processid|findstr PID(Linux)第一时间肯定是全员通知,微信群或者钉钉群,还没点击的千万不要点击,已经点击的立刻上报并且做断网隔离,对所有主机做病毒查杀。2. 记录有问题的进程PID,定位进程:tasklist(Windows)/ps aux|grep PID(Linux)4. 杀死进程:taskkill /F PID(windows)/kill -9 PID(Linux)
再谈钓鱼邮件
04-29 999
网关上拦截的钓鱼邮件基本可以分三个类别:链接钓鱼邮件、附件钓鱼邮件以及邮件头伪造钓鱼邮件(或者叫仿冒邮件),分析共计手法,加强自身防御体系建设。
基于SOAR的钓鱼邮件处置剧本
MingXS2021的博客
08-18 291
钓鱼邮件处置剧本通常用于处理和应对已经收到的钓鱼邮件。整合威胁情报:将已知的钓鱼邮件发送者、恶意域名等威胁情报与SOAR集成。邮件检测和分类:使用SOAR集成的邮件过滤功能,自动检测并标识钓鱼邮件。自动提醒:设置自动提醒机制,通知安全团队有新的钓鱼邮件需要处理。创建工作任务:自动生成或分配工作任务给相应的安全团队成员,确保及时且透明地处理钓鱼邮件事件。邮件分析:通过SOAR对钓鱼邮件进行深入分析,包括邮件内容、附件和链接等。
一步教你溯源钓鱼邮件】的IP地址
ztK63LrD的博客
06-30 2463
溯源钓鱼邮件】的IP地址
溯源小技巧(邮箱、域名、电话、qq)
ZeroDay001的博客
02-04 731
正常来说,他们都会做代理来发邮箱的,但是有些人没做,看到IP其实没什么大的用处,因为这是当时发的IP地址,打个比方,我在甘肃的某个地方边走边发的邮件,然后发完我就走到了其他地方,IP再发一次也会随着变化。再说另一种情况,就是用服务器来发送邮件信息,如果找到服务器的IP地址,万一他是用国内的IP,再绑定国内的域名,然后他还实名了,这不就溯源到了吗(哪里有那么完美的场景,也不排除可能有)有些whois查询能带来意想不到的惊喜,比如可以看到这里有他绑定的qq邮箱而且是没有隐藏的那种。直接点击箭头所指的地方。
钓鱼邮件从入门到放弃
热门推荐
tomyyyyy
12-06 1万+
目录钓鱼邮件从入门到放弃一、钓鱼邮件的基本概念1.1 钓鱼邮件的伪造方式1.1.1 购买域名搭建邮箱服务器1.1.2 伪造发件人1.2 三个邮件安全协议1.2.1 SPF1.2.2 DKIM1.2.3 DMARC1.3 钓鱼邮件的利用方式1.3.1 链接钓鱼邮件1.3.2 附件钓鱼邮件1.3.3 鱼叉式钓鱼邮件1.3.4 BEC钓鱼邮件1.3.5 二维码钓鱼邮件二、钓鱼环境的搭建2.1 网站克隆...
应急响应】拒绝服务&钓鱼指南&DDOS压力测试&邮件反制分析&应用日志
今天是几号的博客
04-23 728
红队APT钓鱼邮件内容分析(邮件源代码 发送方IP、X-Mailer、钓鱼工具Gophish、指纹特征等)3、根据域名寻找邮件服务器地址(利用红队手段渗透获取信息)1、协议口令爆破事件(以SQLserver、RDP为例)了解:数据库日志,系统日志,中间件日志,其他应用日志等。2、口令传递横向事件(演示域内横向移动日志记录)防御手段:CC防火墙,CDN服务,高防服务等。2、看发送IP地址(服务器IP或攻击IP)1、看发信人地址(邮件代发、相似域名)1、看指纹信息(什么发送工具平台)
HW多人运动溯源反制指北1
08-03
本文将从反制团队的构建、技术层面的反制思路、Windows和Linux跳板服务器的溯源方法,以及对红队成员电脑的分析与控制等方面,探讨如何实施有效的反制措施。 首先,反制团队的构建至关重要。理想的团队包括渗透测试...
钓鱼邮件自动化分析流程.docx
04-16
钓鱼邮件自动化分析流程
115-钓鱼邮件溯源之你写给我的信不是这么说的.pdf
09-20
115-钓鱼邮件溯源之你写给我的信不是这么说的.pdf
渗透测试工具库总结(全网最全)
qq_59468567的博客
02-01 2312
自整理,勿喷
5、应急响应-拒绝服务&钓鱼识别&DDOS压力测试&邮件反制分析&应用日志
m0_65842464的博客
01-27 720
了解和分析应用日志,识别钓鱼邮件溯源反制,DDOS攻击与CC攻击的测试和防御CC攻击(即“拒绝服务攻击”的一种攻击形式)是一种通过向目标服务器发送大量请求来使其无法正常工作的攻击方式。攻击者通常使用大量的计算机或者僵尸网络来发起攻击,从而使目标服务器的带宽、CPU或内存等资源被耗尽,导致服务器无法正常响应请求。CC攻击是一种常见的网络攻击方式,可以对网站、应用程序、网络服务等造成。DDOS攻击是一种通过向目标服务器或网络发送大量流量或请求来使其无法正常工作的攻击方式。
应急响应篇】钓鱼邮件应急响应指南
大河之犬的博客
04-14 360
4、基于域名whois信息,大部分的域名whois的信息乱填的,还有少部分钓鱼网站域名whois信息和被钓正规网站相似。1、先将受害主机进行断网关机处理,如果有主机安全管理设备,先对所有主机资产进行病毒查杀。2、通过查看邮件原文,查看发件人的IP地址,在威胁情报系统上进行查询,扩大信息收集面。检查是否是伪造的相似域名或者和访问服务完全不相关的域名。5、网站备案识别,查看备案信息是否与正常网站信息一致。例如,如果你收到一封电子邮件,要求你登录到 “3、不完美的钓鱼文案,有错别字或语法错误。
钓鱼邮件处置
m0_70655343的博客
07-19 581
此处除了需要排查有多少人接收到钓鱼邮件之外,还需要排查是否公司通讯录泄露。对邮件内容出现的URL做扫描,可以发现大量的异常链接。发现途径如下邮件系统异常登录告警、员工上报、异常行为告警、邮件蜜饵告警。对访问钓鱼网站的内网IP进行记录,以便后续排查溯源可能的后果。屏蔽办公区域对钓鱼邮件内容涉及站点、URL访问。删除还在邮件服务器未被客户端收取钓鱼邮件。有条件的可以根据邮件内容进行屏蔽。通知已接收钓鱼邮件的用户进行处理。屏蔽钓鱼邮件来源邮箱域名。处理接收到钓鱼邮件的用户。屏蔽钓鱼邮件来源IP。...
给我介绍一些网络安全应急响应场景
04-15
好的,我可以为您介绍一些网络安全应急响应场景,例如:1. 网络攻击事件:如DDoS攻击、SQL注入攻击和恶意软件攻击等;2. 数据泄露事件:包括个人数据和公司机密数据泄露事件;3. 身份认证事件:例如钓鱼邮件和社交工程等;4. 设备失窃或损坏事件:例如硬盘丢失或计算机系统受到病毒攻击等。针对这些场景,需要制定相应的漏洞修补计划、安全检测和监控措施,及时发现安全事件并采取相应的安全响应措施,以确保网络安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

告白热

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值