钓鱼攻击案例分享与总结
01 前 言
每 年 HVV 总有一批日夜坚守的小伙伴们,他们一定还记得 HVV 期间发生的一起起钓鱼攻击案例,总是让人心有余悸。作为 “ HVV 利 剑 ” ,钓鱼邮件攻击已经成了一种常用的手法,它是 一个绝佳的打开内网通道的入口点,邮件可以携带文字、图 片、网址、附件等多种信息媒介,结合社工手段可以对未经训 练的人群进行 “ 降维打击 ” ,而且钓鱼邮件还可以做到很强的 针对性,对于运维部门、企 业高管等较高价值目标还可以做到 精准打击。
**本文我们就通过站在蓝队视角下针对于 HVV 期间发生的一些钓 鱼邮件案例谈一谈我们对钓鱼邮件的一些体会和关于邮件安全 防范的一些思考。 **
02 钓鱼攻击案例分享
本篇的第一部分,我们先来看一个护网期间真实的案例,一起感受一下“HVV 利剑”的锋利。 某日,客户反馈他们单位大量人员都收到了一份邮件主题为:上级会议精神传 达提纲及 xxxx2020 年党风廉政建设和反腐败工作要点(xxxx 为客单位名 称),发件人也确实是集团总部党办工作组的成员,但是此人并不负责他们单 位的党政工作。通过电话联系发件人后,确认不是该员工本人发送的,因此我 们立即敏锐的进入应急状态。 我们拿到邮件后正常打开如下,正文仅有一个 压缩包没有其他内容。
我们打开压缩包后发现了压缩包里面是一个使用了超长文件名伪装成 word 文档的 exe,里面还有 dll 库文件。不过在 windows 环境下显示如下,由于使 用了超长文件名,即便开了显示文件拓展名也无法正常显示后缀。:
当我们在沙箱里面点击这个 exe 程序后,竟然真的直接就打开了 word 并且显示 了一篇正常的文章。
等我们关闭 word 回到目录的时候发现,exe 和 dll 文件都没有,只留下了一个 真正的 docx 文档,而此时我们的沙箱主机应该已经在攻击者的服务器上线了:
此案例中攻击者通过前期钓鱼邮件获得了一个可信度较高的员工邮箱,然后利 用该单位一份真实的文件做毒饵,向该单位人员邮箱进行精准投放,且恶意软 件执行过程和 word 文档打开过程中没有任何异常提示,真正的无感,对于一些 安全意识比较低的员工,根本不会意识到自己被攻击了。
03 钓鱼邮件常见使用场景
上