钓鱼事件
0x00 固定证据¶
在发生任何安全事件时,确定安全事件真实存在以后,第一步都建议固定证据,固定证据一般有以下几种类型,受害单位可以根据实际需求选择
- 系统快照 - 一般云环境比较方便这么做
- 磁盘取证
- 针对性取证 - 例如日志文件、网络信息、数据库等
- 内存取证
系统快照¶
这种主要是云环境或虚拟化环境比较方便,目前似乎这类方式取证出来的内容都会丢失内存信息,属于是关机-快照-导出
虚拟机软件似乎支持例如暂停、冻结等功能,具体根据实际情况决定
磁盘取证¶
磁盘取证有很多工具可以考虑
ddFTK Imager
针对性取证¶
这部分推荐我们自己的 NOPTrace-Collector
https://github.com/Just-Hack-For-Fun/NOPTrace-Collector
我们还推出了一套数字取证和应急响应规范,可以根据此规范自己开发取证程序
https://github.com/Just-Hack-For-Fun/OpenForensicRules
内存取证¶
DumpItFTK Imager
取证后,对证据进行分析时,需要先单独复制一份,保持所有安全人员分析的基础是相同的
0x01 切断传播途径¶
钓鱼事件不同于其他事件,被钓鱼的目标通常是个人终端,所以可以直接采取断网、关机等快捷处置方法来切断传播途径
如果攻击者使用了远控木马,可以考虑直接在防火墙上双向封禁该IP
0x02 确定钓鱼方式¶
现在钓鱼方式非常多样化,如下:
- 钓鱼邮件
- 钓鱼短信
- 钓鱼电话
- 钓鱼二维码
- 钓鱼网站
- 社交媒体钓鱼附件
- 网络劫持钓鱼
- USB 等设备钓鱼
- 物理接触钓鱼
- ...
切断传播途径后,应该第一时间了解本次钓鱼的方式,这有利于掌握攻击者信息,根据攻击者投入情况,推测事件性质,而且可以快速做同类型的钓鱼受害面梳理
0x03 梳理受害范围¶
梳理受害范围主要是两个方向
- 哪些员工受到了本次钓鱼攻击的威胁,真正受害的有哪些?
- 已经明确受害的主机具体造成了哪些危害? 以及它能导致的危害
- 权限被控?
- 账号密码泄漏?
- 横向攻击?
- 敏感文件泄漏?
0x04 隔离或排查受害主机¶
经过上一步,我们已经对本次事件有了明确的认识,接下来就是处置,对于个人终端,直接断网处置即可,对于被控服务器,可以考虑从网络层面进行隔离,只允许必要的业务访问(其实即使没有被攻击,默认也应该这样配置)
排查过程主要是结合受害主机上存在的痕迹以及内部安全设备能够提供的网络、应用、系统等日志来确定到底攻击者做了哪些攻击,是否已经获取控制权等,进而展开针对性排查
具体可以参照远控后门章节部分
0x05 分析被钓鱼原因¶
排查处理完毕后,就是分析被钓鱼原因的部分了,这部分很重要,了解防御体系的薄弱点,一块一块地修补上是安全建设的常态
分析被钓鱼的原因的过程中,切记不要出现 “厌蠢” 的想法,每一个骗局都可能是从不起眼的角落开始的,在分析原因的过程中可以以被钓鱼人员的视角展开,常见的原因如下:
- 纯粹安全意识薄弱,甚至没有安全意识
- 第一次被钓鱼,盲目认为自己不会成为攻击对象
- 手滑,没多想就点击了恶意程序
- 攻击者冒用了受信任的身份,很多攻击者喜欢攻击学校邮箱,之后冒用身份给HR等发钓鱼邮件
- 攻击者通过正常业务取得受害者信任,这种多见于需要对外的部门,交流多次后取得信任
- 攻击者制造偶然事件,获得受害者信息,例如微博、脉脉等平台添加还有,不断深入交流,直到取得信任
- 攻击者通过心理干预,影响受害者判断,常见于恐吓、求助、示弱等心理
- 攻击者从内部发起钓鱼,假设控制了前台电脑,之后向公司群里发钓鱼附件等
- 攻击者手法高明,采用了 0day、免杀、多重加载等方式钓鱼
- ...
被钓鱼的原因背后往往还有深层次的原因,安全意识薄弱、主机安全做得不到位、公私电脑混用、网络区域划分不清、责任意识不强等
0x06 加固防御体系¶
根据之前分析的结果,结合现有防御体系,进行专项加强,例如
- 将本次事件作为典型通报全公司
- 组织安全意识培训
- 加强个人电脑以及邮件网关等设备的安全管理
- 建立钓鱼信息发现、上报、研判、反馈机制
- 合理进行网络区域规划
- 开展全面的钓鱼演练
0x07 善后阶段¶
直接查看善后阶段即可,主要为定损以及针对性排查处理,目的是解决潜在的受害服务器
0x08 常规安全检查阶段¶
直接根据常规安全检查章节进行安全检查即可,目的是找出当前系统中存在的隐藏后门等