🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

诸子云 |钓鱼专题:严格查杀宏的情况下怎么自行组织钓鱼?如何警惕邮箱钓鱼?

是贾贾 安在 2021-05-14
收录于话题
#诸子云话题
7个


 ☝戳上方查看往期“诸子云话题”


戳这里查看改版前微话题精彩内容




在此之前,我们采编“诸子云”社群日常交流(各会员群内脑力碰撞)之精华,出品“微话题”栏目,两年多时间里,先后整理上千次讨论,汇整数百个热点话题,发布数十期文章,涉及企业网络安全最佳实践方方面面、角角落落。与此同时,我们还以月为单位,把所有经过整理的讨论内容归档到诸子云知识星球,让微话题可沉淀、能检索、好持续。


当然,作为诸子云社群内部讨论,“微话题”一直局限在社群各大微信群,虽对外分享传播,但毕竟只是单方面,欠缺更广泛的互动性,对于这些话题中与“痛点”和“需求”相关的内容,也欠缺一种更开放更及时的协作对接机制。


为此,牛年新春,我们对“微话题”全新改版,“话题”不再细微,“话题”更具价值!


简单来说是这样的:我们会聚焦诸子云社群日常讨论中与“需求”相关的话题,想甲方之所想,急会员之所急,特邀网安厂商大牛专家提供建议,以“供需”对接的方式对外分享(建言者会留下联系方式)。借此,有“痛点”和“需求”的甲方会员可自行参考并择机而定,同时又不会有被打扰的担心。


每期“话题”,我们会精选2~5个,具体编排时,采取“三段论”:1. 话题标题;2. 诸子云群内讨论精编;3. 厂商专家建议。

(注:受邀厂商仅限安在企业会员,详情请按文末接洽)




话题一现在的杀毒软件对宏这类的查杀非常严格,大家有自行组织过钓鱼吗?

观点1:刚做完,超过10%中招。网上找的都是用cs生成shellcode 然后搞免杀 在自己演练时候感觉不适合用cs只想编个收集一些信息的,但是不会写这种特制shellcode。用vs写个exe 分分钟被360干。


观点2:10%还有啥不满意的,我这估计2成不中招就不错了。我碰到过钓鱼令整个安全部+CIO+CISO滚蛋的,也碰到过钓鱼触发的广告让老外心醉不已一定要点进去买的。很多杀软识别到壳就干,通过宏执行powershell的更没法用,网上那些招数都不好使。


观点3:刚做好,结果40%中招,没中招的有一半是不看公司邮件的。钓鱼邮件一定要得到公司高层的授权,最好不要拿密码这种,然后在正式开始的当天与高层再次沟通。我是做了一个假冒公司年会的报名网页,除了不在公司的和没有看邮件的,基本上全中,我原来选的另一个主题,结果老板不满意,说想要做得真实一点。


观点4:"钓鱼测试,技术上大家都没问题,但在实际执行时,一定要注意2点:第一是获得高层及相关部门的授权。特别借用敏感话题或某部门的抬头发钓鱼测试,一定要获得高层授权,并与相关部门负责人沟通谅解。否则,吃不了,要兜着走。第二是敏感信息采集。如密码、账号、邮箱等敏感信息最好不要用在内部的钓鱼测试中,特别是那种请第三方参与的,搞不好就真的成为钓鱼了。"今年基于疫情的钓鱼应该会很流行,我们欧洲区有中招了。



厂商建议

宏病毒在钓鱼邮件中是常用手段,杀毒软件可以检测大多数的宏病毒,可以通过静态查杀、云查杀、行为查杀方式。但是在邮件服务器为了确保可用性和隐私性一般只用静态查杀方式,所以通过绕过静态查杀还是可以通过钓鱼附件进行有效攻击。通过混淆或分离等方式进行绕过,从而实现邮件钓鱼。而宏病毒这类攻击可以归类到无文件攻击范围,我们还是需要加强针对终端或服务端针对无文件攻击防护。——安芯网盾



话题二邮箱钓鱼难免中招,该怎么提起警惕,及时上报,有技术方案吗?


观点1:不报扣KPI,普通员工其实没资格被钓鱼,我们这都是鱼叉。标准流程反馈IT服务台,或以附件形式发送给信息安全专用邮箱,紧急情况直接找人。每年搞钓鱼测试嘛。把部门排名去给老板公示。向上管理比管individual轻松而且有面子,钓鱼比安全培训有价值多了,一钓一大把,基本不培训中招率在5成到7成。不过搞多了就没意思了。


观点2:我记得去年hw前做过一次,用vb写脚本群发邮件,邮件里面写了些乱精心编写的文字,再放一个url指向自己本机搭的一个很简单的web服务,就一个弹窗告警并记录点击人的邮箱,还是周五晚上发的邮件,周一下班统计了一下。25%的中招率吧。


观点3:有专业的公司做钓鱼邮件测试的生意,前几年出版的hack the hacker书里有对他们的介绍,钓鱼邮件的员工培训到位,就又多了一道防护,所谓human firewall。很多安服公司可以做,基本上现在渗透打不穿的情况下,钓鱼邮件和近源攻击,是一个不错的选择,而且相对有效。


观点4:特地在培训的时候提了一句会有钓鱼邮件测试,然后马上测试的话中招率很低,但是如果你过段时间再发一个“薅羊毛”的钓鱼邮件,基本就都中招了。没中招的基本就是工作太忙没空在上班时间点击的,要么就是安全意识真的很强的。综管行政中招少,研发业务中招多。也看仿真程度,邮件服务器设置及安全策略很重要,贝叶斯算法设置拦截。



厂商建议
鱼叉钓鱼攻击的防范难点主要体现在:1、攻击目标不确定,可能是HR、公司高管甚至是安全运维人员;2、攻击内容不确定,大多内容看上去极具诱惑性或者关联日常工作(类似:获取企业某员工邮箱后,直接重发最近发出的邮件,却只是替换了附件);3、用于攻击的武器(恶意软件)通常做过免杀,能绕过终端的杀软或者EDR检测。鱼叉钓鱼攻击,除了对恶意文档的检测外,还涉及社会工程学的范畴,某单一的防范方式都无法完美解决问题,通过多年网络攻防经验和实践发现:利用塔防游戏的思路,针对鱼叉钓鱼的生命周期步步设防,人机结合阻击、阻断钓鱼邮件,效果显著。塔防的方式是在鱼叉钓鱼攻击的各个阶段,逐个设防,进行阻击。1、进行鱼叉钓鱼攻击培训,树立安全意识;2、执行强密码策略,防止爆破;3、在邮件服务器进行沙箱检测,联动阻断;4、终端防护,部署EDR,检测触发邮件后的异常;5、通信监测,当前面阶段都无法防范时,从流量中检测植入木马后的通信特征。

——东巽科技





安芯网盾



内存安全领军者和开拓者,提供新一代高级威胁实时防护解决方案。

杨女士

13264034428




东巽科技



高级威胁检测与响应专家。

丁仕珍

15950547734





如果你是甲方业者,还未加入诸子云,别犹豫,赶紧联系,诸子云作为国内目前最大也最为活跃的网络安全甲方社群,一定是你最佳选择。


加入诸子云请洽Tina


更多话题在诸子云知识星球有归档,想了解甲方日常所想?想理解甲方工作之痛?想掌握甲方真实需求?赶紧加入这个开放的“宝藏”。



另外,本星球已开通“分享有赏”,20%分享奖励,以当前价格计,您只需引荐5位付费新星友,您就完全赚回“门票”支出了。


如果你是厂商,想直接参与“话题”互动?想拥有更多传播和对接价值?赶紧加入安在企业服务计划,成为安在企业会员吧!




推荐阅读





安在会员福利计划启动,快来牵手!


齐心抗疫 与你同在 



点【在看】的人最好看


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存