【转】钓鱼邮件攻击检测
参考连接:
钓鱼邮件的检测 - 简书
钓鱼邮件因此成为APT攻击的重要手法之一,隐藏在电子邮件中的附件中或者url链接中,在一定条件下激活,进行破坏和传播,轻则占用资源、破坏计算机系统部分功能,重则导致重要数据丢失、窃取机密信息,带来巨大的经济损失。
1. 有效内容提取
拿到一封可疑钓鱼邮件,获取邮件里面的数据,并对数据有效整理和提取
- 发件人邮箱
- 发件人IP地址
- 收件人邮箱
- 收件人IP地址
- 邮件附件名称
- 解析邮件头信息
- 内容中的URL链接
。。。。。。
2. 信誉度分析
在进行可疑钓鱼邮件判断是否是恶意邮件,可以通过威胁情报的信誉度、文件信誉度等进行综合打分评判,通过多种检测手段对可疑邮件进行加权打分,判断是否是恶意邮件。
- 威胁情报
开源威胁情报目前比较多,笔者经常使用的威胁情报网站是threatfeeds.io
,该网站情报不仅免费而且更新非常快。
通过开源威胁情报,对邮件中的邮箱和IP地址进行有效碰撞,通过情报的信誉值,判断该IP地址是恶意IP的可信度。 - 文件信誉度
对邮件的附件通过沙箱模拟真实主机的操作,并对文件操作、注册表操作,网络行为等进行综合判断 - URL信誉度
URL的信誉度,有两种方法,可以使用情报域名进行分析。或者使用白名单信誉库进行综合评判。
通过对可疑邮件的信誉度分析,判断文件可疑邮件是否是恶意,如果分数较低,关闭任务。如果分数较高,继续通过数据关联分析进一步判断
3. 关联分析
通过以上信誉度分析判断可疑钓鱼邮件是恶意的可能性后,通过历史数据和家族数据对其关联分析,形成知识图谱,还原攻击场景。
- 攻击组织判断
通过对文件、URL和情报分析后,基本能够得到恶意代码的机构和代码逻辑,能够知晓C&C架构结构。对历史样本进行恶意代码对面、活动时间等判断其攻击组织和家族。 - 溯源分析
通过whois信息和PDNS数据进行交互式分析,绘制攻击的图谱,溯源攻击者相关参与者。
4. 经验特征
1、看发件人地址:如果是公务邮件,发件人多数会使用工作邮箱,如果发现对方使用的是个人邮箱帐号或者邮箱账号拼写很奇怪,那么就需要提高警惕;
2、看邮件标题:“系统管理员”、“通知”、“订单”、“采购单”、“**”、“会议日程”、“参会名单”、“历届会议回顾”这类标题的邮件需要谨慎打开;
3、看正文措辞:对使用“亲爱的用户”、“亲爱的同事”等一些泛化问候的邮件应保持警惕;
4、看正文目的:当心对方索要登录密码,一般正规的发件人所发送的邮件是不会索要收件人的邮箱登录账号和密码的;
5、看正文内容:当心邮件内容中需要点击的链接地址,若包含“&redirect”字段,很可能就是钓鱼链接;还要当心垃圾邮件的“退订”功能。
5. 沙箱触发
在可控安全环境内执行邮件整体内容或打开各种文件,检测运行进程及其log ,定位是否存在可疑行为。
参考连接:钓鱼邮件威胁检测实战及典型样本分析_If you can take it, you can make it.-CSDN博客_钓鱼邮件设计
【转】钓鱼邮件攻击检测相关推荐
- 钓鱼邮件攻击(入门)
记一次hw中学习的钓鱼邮件攻击(入门) 作为社会工程学的一种攻击方式,当红队正面面临框架新,逻辑漏洞少,信息泄露少等情况打不开局面时,钓鱼邮件攻击不失为一种"有趣"又有效的渗透方式 ...
- 工信部:谨防钓鱼邮件攻击事件
近日,工业和信息化部网络安全威胁和漏洞信息共享平台监测发现,利用仿冒电子邮箱发起的钓鱼邮件攻击事件频发,提醒相关单位和公众用户提高网络安全风险意识,谨防钓鱼邮件攻击. 钓鱼邮件攻击者,可能伪装成家人. ...
- 实验整理(一)——钓鱼邮件攻击实验
声明 本文仅限于技术讨论和分享,是之前所做的一个课程设计整理,严禁用于非法途径.如果利用本文所提供的信息造成了不良结果,与本文作者无关. 一.实验介绍简介 本次课程实验中主要是通过发送qq邮件来进行的 ...
- RDP服务针对性攻击、钓鱼邮件攻击和勒索病毒家族Phobos研究
第一部分 RDP服务针对性攻击.钓鱼邮件攻击 Phobos勒索软件家族于2019年初被发现,并不断更新病毒变种.此变种最早于2019年9月末被发现,其传播方式主要为RDP暴力破解和钓鱼邮件.此勒索软件 ...
- 中科大遭钓鱼邮件攻击了?3500名师生中招
近日有中国科学技术大学学生在社交媒体发帖称,收到了学校发的"中秋免费月饼领取" 的邮件,但填写资料后没有领到月饼,却反倒把自己信息泄露了. 据新闻消息,9月8日上午,中科大网络信息 ...
- 利用漏洞CVE-2018-20250模拟一次鱼叉式钓鱼邮件攻击
利用漏洞CVE-2018-20250模拟一次鱼叉式钓鱼邮件攻击 1 概述 2 实现流程: 2.1 具有恶意宏代码的docm文档编写 2.2 利用CVE-2018-20250形成ACE压缩包 2.3 邮 ...
- 2019网络钓鱼邮件翻倍,如何预防鱼叉式钓鱼邮件攻击?
根据微软数据,与网络钓鱼相关的电子邮件百分比,从2018年9月的0.31%上升至2019年9月的0.62%.微软对2018年每月4700亿封电子邮件的分析发现,网络钓鱼信息增加了250%. 如今,鱼叉 ...
- 如何识破钓鱼邮件攻击
随着攻击技术的不断演变,网络钓鱼正变得越来越复杂,攻击数量相比2021年同比增长近两倍,越来越多的黑客开始使用复杂的代码和流程提高攻击成功率. 攻击者手段不断更新,受害者很容易回复或点击那些含有恶意链 ...
- 敲诈勒索比特币不断,企业用户如何防“山寨”钓鱼邮件
作者:网易安全部|薛帅 欢迎访问网易云社区,了解更多网易技术产品运营经验. 先做个类比,如果把钓鱼邮件和卖假包的做个比较,你会想到什么: 两者都是看中了你口袋里的人民币, 卖假包,就是利用高仿的包包迷 ...
最新文章
- Linux下常见文件解压方法及命令
- 数据结构 2018统考题【找出数组中未出现的最小正整数】
- Java 序列化的一些简 单总结
- css学习笔记(三)——布局模型
- idea中没有j2ee_idea神器功能大全
- 堆的应用--并查集解决“擒贼先擒王”问题(JAVA)
- [导入]Asp.net 2.0 自定义控件开发[实现自动计算功能(AutoComputeControl)][示例代码下载]...
- 转 PHP函数---$_Get()和$_Post()的用法
- 使用Ruffle搭建运行Flash的网页
- c语言编程中分数怎么表示,用C语言编程平均分数
- delete 的用法(Hive)(SQL)
- 互联网众筹系统开发-一站式搭建众筹项目建设
- p2p断开的两种情况:WLAN_REASON_DISASSOC_DUE_TO_INACTIVITY(4)和WLAN_REASON_DEAUTH_LEAVING(3)
- 《用户行为画像》学习(1-4章)
- j3455跑mysql_基于J3455搭建NAS
- 单片机8位、16位、32位和64位系统在内存上的区别
- 怎么把html封装成桌面应用,如何将一个现有的Vue网页项目封装成electron桌面应用...
- TongWeb上应用部署方式
- Arm汇编寻址方式工作模式
- ISC 2018优惠门票来一波:世平信息指尖安全助力白帽!