攻防演练中如何“防钓鱼” | FreeBuf甲方群话题讨论
2022-7-1 15:50:40 Author: www.freebuf.com(查看原文) 阅读量:22 收藏

在众多攻击手法中,钓鱼攻击凭借其“成本低、范围广、高隐蔽”的特点被广泛运用,针对企业的钓鱼攻击也不在少数。HVV期间,钓鱼实战手法可能花样百出,比如在群内分享网安学习资料、利用企业邮箱发送内部邮件。

在诸如此类场景下可以有何检测防御措施?在钓鱼实战中,可以有哪些策略有效检验员工的安全意识?

A1:

验证意识最好的办法,就是内部发起钓鱼,而且结合公司内部互动效果更好。

A2:

内部钓鱼我们一直有做,内容就是最常见的IT提醒你账号异常要登录OA修改,然后模仿OA首页弄一个钓鱼页面收集密码,根据我们近几次的数据看,入职安全意识培训前钓鱼的刨去不看邮件的,几乎100%中招。然而作为对照组,培训完之后钓鱼的也还有一半人会中招。

A3:

针对钓鱼的防御,不应只单单关注外来钓鱼手段何应对之策,而还应更关注钓鱼的对象--内部员工、供应商人员,不断加强、不断强调提高安全意识,双管齐下。

事先需要对全体员工进行教育,使其了解快速的反馈流程,加入现有的应急处置策略里面,已经识别钓鱼攻击发生,普通员工的快速反应能力,决定了能否快速约束其权限、通知扩散到全员,防止更大受害范围。

A4:

说到钓鱼场景,我这边处置过一次,以冒充老板名义让财务转钱,还有公共邮箱收到以离职人员背调名义,获取内部员工联系人信息。还有定向针对老领导卖酒的,大多是茅台。

A5:

看过有些厂商的邮件网关可以做疑似钓鱼邮件的智能分析,自己的话主要看好不好采这些附件或者发送文件的信息,再根据文件后缀、文件IOC、沙箱去分析,自己做的话工作量蛮大。

关于安全意识策略,一般是连环套,第一封是常规钓鱼,第二封是对第一封钓鱼的提示,一般第二封比较容易中招,也容易招人恨。

A6:

我们主要是监测单IP多邮箱登录,或者单邮箱多IP登录之类的场景,然后发告警,结合密码强度策略控制。

Q:那对于HVV期间的钓鱼邮件,在邮件网关或者邮件沙箱中可以定义哪些强化规则?

A1:

关于钓鱼邮件,用的是Office365,所以直接应用了微软预设的严格保护策略,然后我会每天看一下隔离邮件,研判一下是否要调整策略。

现在发现比较多的是针对外部暴露过邮箱的钓鱼,所以对于邮件组非必要不开启接收外部邮件功能,对外暴露尽量以邮件组为主。对于重要的用户进行重点策略的应用。

从上周开始模仿用户自己给自己发邮件的情况多了起来,所以在SPF和DKIM的前提下,也启用了DMARC。然后就是及时公告员工,关键还是自己有防范意识。

A2:

期待有利用大数据、机器学习、深度学习的钓鱼邮件分析技术,能够从邮件发送目标、频率、内容、范围这些特征里提取出风险邮件做拦截。

A3:

有AI自动识别就有AI对抗的出现。

A4:

我们用的某品牌邮件网关,没有做到期待的效果,有碰到用户的发件明显不同于以往特征,对象和数量都非常异常,网关也拦截不了,能做到像业务风控那种就好了。

A5:

一般都是积累邮件标题跟内容,把热门钓鱼邮件的那些文本都加进去,可以拦不少,一些厂商的邮件网关会省心点。

A6:

关于钓鱼邮件,借鉴某集团和我们甲方群某大佬的SOAR平台,对邮件所有包含URL域名进行沙箱检测、外部情报识别,自动化处理是最好的方案,意识培训有用,但事实上用处不算大,尤其在现在的各种专门设定的场景下。

Q:相对于事前防御,如果钓鱼攻击事件已经发生,处于事中或事后阶段,比如攻击方通过钓鱼已经拿到企业内部某高权重账号,可以有哪些措施进行补救?

A1:

关于补救措施,我觉得还是账号权限最小化,高权重账号,要不就别用一套认证了,另外加强MFA的应用。

A2:

封禁账号,各个系统登录情况确认(集中日志比较好排查),机器的东西向流量,可能影响评估,对攻击方使用URL、发件源IP、文件马的倒查溯源,邮件封禁策略更新,防火墙封禁策略更新。

话题二:都知道遭受了攻击要溯源,那有没有相关攻击溯源的方法分享,或者采取哪些反制措施?

A1:

说实话,都是反钓鱼,看缘分。我们三次反制成功,两次都是攻击队领队中招,队员只有一次。

A2:

威胁情报查一下IP,运气好,对方不会藏,直接查到以前实名申请的域名。跳板代理的除非打下来,否则查不到的。

A3:

溯源靠蜜罐的时代已经过去了,可以分享个HVV期间的逮人小技巧。现在攻击队用的环境都很干净,我们曾经用桌管反制过诈骗犯。之前有个骗子冒充高管要求转账,我们就说桌管是转账助手,那玩意直接拿系统最高权限还永久免杀。

A4:

不过,零信任包含桌管的话,也可以减少网络暴露。

A5:

钓鱼反制现在太难做了,一个是你最多钓一两个,人家团队可能十几个人;第二个是太干净了,啥信息都没有。

A6:

所以溯源,还有反溯源,大家都是这个行业,谁不知道谁呀,你不在官网上放几个公共邮箱,都不一定抓到钓鱼的邮件。

A7:

2019年、2020年蜜罐溯源各单位得分不少,现在攻击队们对渗透环境有标准化培训,就算踩到蜜罐或者反制木马也难以拿到太多有效信息。

对于溯源工作,要有一个清晰的定位:抓不到就算了,抓到一个就是出彩。我们在近两年和几家头部安全厂商的白帽子们做攻防演练,发现现阶段白帽子防反制意识比较弱的点是个人手机号。各类接码平台越来越少,无痕号码成本也越来越高。白帽子们对手机号注册还报有很大的侥幸心理。

因此可以在HVV开始前两周,或者一周半,划定时间界限,对新增注册账号严密监视。制定好查询脚本对接WAF日志,访问Cookie和账号快速查询通道,社工库。对带有Cookie数据,哪怕产生一点点或者单引号的攻击行为(一般不会有大面积漏扫,只会有不小心的手贱探测),立刻通过Cookie找到账号,对接社工库尝试拿人员身份信息。对于拿到的人员信息输出简单的可疑人员报告,结合HVV全程按需使用。

A8:

我认为蜜罐在未来攻防战场上,依旧存在用武之地,依然有着不可替代作用。常用的:

1.捕获0day;

2.探测红队人员攻击信息(例如攻击人员画像)同时反制攻击者,浪费攻击者攻击时间;

3.在内网主要网段中部署蜜罐,以判断当前红队人员攻击深度和广度。

不过个人感觉未来会更趋向于高交互方式,可能未来蜜罐会出现所有功能与实际生产系统一致的高交互蜜罐(因为就目前情况,和生产系统唯一区别就是蜜罐数据都是假的),这种蜜罐更加注重0day捕获,攻击行为、攻击样本进行分析。

——————————————————

本期精彩观点到此结束啦~此外,FreeBuf会定期开展不同的精彩话题讨论,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧!

加入即可获得FreeBuf月刊专辑,还有更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动?

申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部

如有疑问,也可扫码添加小助手微信哦!


文章来源: https://www.freebuf.com/articles/neopoints/337941.html
如有侵权请联系:admin#unsafe.sh