塔防方式阻击鱼叉钓鱼攻击 – 作者:东巽科技2046Lab

战法简介

鱼叉钓鱼（Spear phishing）是一种针对特定目标进行攻击的网络钓鱼攻击，通常使用的手法是向特定目标发送钓鱼邮件，通过诱导性的标题、正文和看似正常的附件，诱导受害者打开恶意的附件，然后将恶意软件植入到受害者的计算机内。

鱼叉钓鱼是网络攻击的惯用手段，也是APT攻击中高频出现的攻击手段之一。经常被攻击者用于寻找防御突破口。

鱼叉钓鱼攻击的防范难点主要体现在：

1、攻击目标不确定，可能是HR、公司高管甚至是安全运维人员；

2、攻击内容不确定，大多内容看上去极具诱惑性或者关联日常工作（类似：获取企业某员工邮箱后，直接重发最近发出的邮件，却只是替换了附件）；

3、用于攻击的武器（恶意软件）通常做过免杀，能绕过终端的杀软或者EDR检测。

所以说，针对鱼叉钓鱼攻击，除了对恶意文档的检测外，还涉及社会工程学的范畴，某单一的防范方式都无法完美解决问题，通过多年网络攻防经验和实践发现：利用塔防游戏的思路，针对鱼叉钓鱼的生命周期步步设防，人机结合阻击、阻断钓鱼邮件，效果显著。

战法实施   

总体思路

鱼叉钓鱼的攻击思路大致如下：收集邮箱并尝试爆破，如果爆破成功，则用爆破后的邮箱发送邮件，员工接受到钓鱼邮件触发执行，执行后木马回连C2服务器，攻击方通过C2服务器控制员工终端进行横向移动或者获取数据。

图  鱼叉钓鱼攻击的生命周期过程

塔防的方式则是在鱼叉钓鱼攻击的各个阶段，逐个设防，进行阻击。

1、全员进行鱼叉钓鱼攻击培训，树立安全意识；

2、执行强密码策略，防止爆破；

3、在邮件服务器进行沙箱检测，联动阻断；

4、终端防护，部署EDR，检测触发邮件后的异常；

5、通信监测，当前面阶段都无法防范时，从流量中检测植入木马后的通信特征。

图 塔防方式阻击鱼叉邮件

阶段1：意识培训

通过案例的方式，对全员进行鱼叉钓鱼攻击培训，树立网络安全意识；重大活动前组织集中培训；发现钓鱼邮件后，也要立即通知大家，加强防范意识。对于可疑邮件可以执行以下操作：

1、收到可疑邮件及时向邮件发件人确认是否为本人发送；

2、不轻易点开可疑邮件内的链接，对点开链接后需要输入用户名、密码的情况需要再三确认所在网站是否为正规网站；

3、所有终端开启后缀名显示，可疑邮件中的附件不立即点开，对文件图标与后缀名不符的文件应谨慎对待；

4、若不慎点开可疑邮件的附件后应立即断网，并与安全专家联系确认是否存在恶意木马。

阶段2：强密码策略

利用统一的身份认证，强制所有的邮箱账号密码8位以上，至少包含数字、字母和特殊符号，完全杜绝弱口令。

阶段3：进入时，利用沙箱检测鱼叉邮件

在邮件服务器部署沙箱产品对邮件附件进行深度检测，识别到恶意附件的邮件，需及时联动邮件网关进行阻断或撤回已发送的邮件。沙箱的优势是可以有效识别免杀的恶意软件，在沙箱选型时，要尽可能选择防逃逸能力强、检测手段丰富、检测类型多样的沙箱，能有效的保障高检出、低误报。

阶段4：触发时，利用终端EDR检测异常

在终端部署EDR类产品，当邮件落地到终端后，监测邮件中文件的执行，并监测系统的异常以发现恶意软件；同时，EDR可与流量威胁检测产品（NDR）的告警事件进行联动，查杀阻断终端的木马。

阶段5：植入后，利用NDR设备检测木马通信

在办公网的出口，部署NDR产品，监测所有终端的通信，从通信中识别恶意软件的通信行为，如果发现某个终端存在木马通信，则联动该终端上的EDR，对终端进行下线并根据线索进行全盘检测，同时通知处置人员上机处置。NDR产品最好支持木马通信特征、通信行为 、DGA、隐蔽信道、威胁情报等多种检测方式，包含至少200款+木马特征，尤其是攻击者常用的Cobalt Strike、meterpreter、empire等木马。

案例分析

以下列举钓鱼攻击的惯用案例来阐明塔防方式阻击的典型应用。多数关基设施建设单位或重保单位都会对全员进行网络安全意识培训，警惕鱼叉钓鱼邮件，设置强密码策略，因此使用公司内部邮箱发送鱼叉钓鱼邮件的情况鲜有发生。但近期我们了解到依然有黑客使用其他常用邮箱（如：QQ邮箱）发送标题名为“2021年劳动节放假通知”的鱼叉钓鱼邮件，发件人为“行政服务部”，邮件内容包含放假日期安排、过节费、假日值班安排等，正文包含“职工福利”等内容，正文注明将根据职工级别安排每人发放300-1000元不等的过节费，具体发放名单在附件内，而附件是一个PDF图标后缀为exe的文件。此类邮件在进入邮件服务器时，往往会被沙箱识别为恶意邮件（如：2021年HVV行动中，东巽科技沙箱捕捉到类似邮件含CobaltStrike木马），从而联动邮件网关进行了阻断，通常该阶段鱼叉钓鱼攻击会止步于邮件服务器，不会发生扩散。

但假设沙箱未检出，鱼叉钓鱼邮件投递成功，那么也会受益于前期做过安全意识培训，当遇到其他邮箱冒充行政服务部、附件为PDF图标的可执行文件等明显特征时，被大部分员工识别，从而减少被触发的概率。最后剩下的极少数被触发的情况，终端EDR和网络侧的NDR也将发挥作用，在后续攻击阶段识别到鱼叉钓鱼的后续攻击行为。

战法点评 

鱼叉钓鱼因为攻击成本低、难发现，成为APT甚至是黑灰产都在普遍使用的攻击手段，因此阻击鱼叉钓鱼是日常安全运维中必须具备的能力。塔防方式阻击鱼叉钓鱼，在鱼叉钓鱼生命周期的必经之路设防，一点点消灭途经的鱼叉钓鱼邮件，会一步步削减鱼叉钓鱼攻击的成功概率。该技战法并没有涉及太多新的技术或产品，而是充分综合利用了现有的产品+人的方式，组合成“人机联防”来达到有效对抗鱼叉钓鱼的目的。

来源：freebuf.com 2021-05-07 10:36:52 by: 东巽科技2046Lab