最近处理多起钓鱼邮件，一直想说把钓鱼邮件的处置稍微理一下，另外能够从外部获取一些新思路来防护钓鱼。想来2020年，HW使用钓鱼邮件进行渗透的情况也较多。所以才有了这篇文章。

其他技术文章可以参考

一起钓鱼邮件的应急响应 https://www.freebuf.com/articles/system/256049.html

前期发现

我们基于发现钓鱼邮件的历史数据来分析，从高到底有这几种方式。这部分不说的太细，只是抛砖引玉，大家各显神通吧。

主要发现途径如下：

邮件异常登录告警

员工上报

异常行为告警

邮件蜜饵告警

当然发现方法肯定不止这些，这里推荐接入微步或奇安信的情报数据。对邮件内容出现的URL做扫描，可以发现大量的异常链接。

发现后的紧急处置

紧急处置有条件的可以同步操作以下步骤

屏蔽办公区域对钓鱼邮件内容涉及站点、URL访问

根据办公环境实际情况可以在上网行为管理、路由器、交换机上进行屏蔽。邮件内容涉及域名、IP均都应该进行屏蔽。对访问钓鱼网站的内网IP进行记录，以便后续排查溯源可能的后果。

屏蔽钓鱼邮件

屏蔽钓鱼邮件来源邮箱域名

屏蔽钓鱼邮件来源IP

有条件的可以根据邮件内容进行屏蔽

删除还在邮件服务器未被客户端收取钓鱼邮件

处理接收到钓鱼邮件的用户

1.根据钓鱼邮件发件人进行日志回溯

此处除了需要排查有多少人接收到钓鱼邮件之外，还需要排查是否公司通讯录泄露。采用TOP500姓氏撞库发送钓鱼邮件的攻击方式相对后续防护较为简单。如果发现是使用公司通讯录顺序则需要根据通讯录的离职情况及新加入员工排查通讯录泄露时间。毕竟有针对性的社工库攻击威力要比TOP100、TOP500大很多。

2.通知已接收钓鱼邮件的用户进行处理。

删除钓鱼邮件

这个不用多说，对于普通用户不点、不看、直接删。

系统改密

这里的改密操作不仅仅涉及调用邮件直接钓鱼的账户。由于普通用户多账户使用相同口令的情况非常普遍。所以涉及到使用相同口令的系统都应进行改密，可能的范围包括：邮箱系统、OA系统、VPN、堡垒机等。

此处提供一个小经验，中了钓鱼的用户很大一部分并不会意识到自己已经中了钓鱼邮件的套路。所以通知时一定要将钓鱼邮件图片和样例贴在通知里。

同时结合上网行为管理，特别关照一下已经打开钓鱼邮件的用户。

全盘扫毒

用户点击钓鱼邮件附件的情况只要出现，那基本可以判定为中毒或被埋了后门，断网杀毒必须走一遍。如果附件文件为免杀，那处理起来会更为复杂，可以提取样本文件给到自己的杀毒厂商做针对性查杀。

后续处置

全员安全意识宣贯

这个很重要，“人”才是一切安全问题的根源，也是安全里最薄弱的一环。我们大多数人在没有受骗之前，我们都会认为骗子只在影视剧里出现，或者离我们很远。

简单的安全培训并不能真正引起大家的重视，根据历史的教训来看哪怕是有培训以及配套考试也很难起到警示作用。通过不定期的发内部钓鱼邮件，进行实战，对钓鱼测试上钩的用户进行再教育再培训效果会比较显著。其目的是给所有人上紧那根玄。

推荐一个不错的钓鱼邮件演练系统，不过需要自己搭建邮件发送系统：https://github.com/gophish/gophish

也可以参考：如何规划企业钓鱼邮件演练 https://www.freebuf.com/articles/es/244599.html

回溯告警

钓鱼邮件是很难避免，但是我们可以通过不断的提升发现钓鱼邮件的能力，缩短发现钓鱼邮件的时间来避免可能的损失。

主要从这个几点问题出发：

1.是否建立了全员通告机制，如果有人发现钓鱼邮件上报给谁，谁来排查？

2.对发现钓鱼邮件并上报组织的通过的奖励，对反复中钓鱼的用户的处罚是否已经建立？

3.是否有技术手段来发现钓鱼邮件？异常登录（非常用IP登录）、异常发件数量。

原有系统的改造

在日常处理安全事务的过程中，经常有人说，我的密码很强为啥会被盗。拿来一看“!QAZ2wsx”,一口老血喷出来。说实话，我已经快分不清哪些是强，哪些是弱，其实口令的强弱没有绝对。但再强的口令，只要很多人共同使用那就是个弱口令。所以有条件的企业，登录一定要用双因子，不要相信所谓的强口令。

如果这些都没有办法，只能定期扫描一下邮箱弱口令。

基于对抗形式的防护

1.预留蜜罐邮箱地址（无法发送邮件功能，定期预埋邮件内容）。

2.普通邮箱用户投放蜜饵。

3.有能力的同学可以在发现钓鱼站点后进行反向渗透。

总结

写的都是些之前做的内容，可能一些没有描述清楚，也没有较多图片和案例说明。请各位技术大佬吐槽，当然能够提供更多有效建议才是本文的初衷。

来源：freebuf.com 2021-02-22 18:18:35 by: feil