每日一句:HW中,红队、蓝队都会很累。没有说哪个会更强一些,毕竟道高一尺魔高一丈。

一、网络钓鱼

01.一些简介~钓鱼属于社会工程学~在18年的红蓝对抗还不怎么常见,~在19年的时候就比较泛滥了02.为什么会被钓鱼~因为好奇或者兴趣,随意打开广告或未知邮件中的链接~使用私人邮箱发送或者接受带有敏感信息文件的邮件~从来不重启或关闭计算机,导致系统补丁无法成功安装(特别是一些单位领导,他们的关机就是将显示屏合上)03.钓鱼邮件攻击方式~邮件正文插入钓鱼链接        ~目前较为少见~邮件附件藏毒              ~目前较为多见~一般都会打一个压缩包,目前是为了 绕过杀软的检测~特别的会在压缩包上加一些密码(一些好点的沙箱会自动解压查杀)~发件人身份伪造~对一些安全意识薄弱的人员杀伤力极高在18年左右有真实案例,因为某些原因不在深入说明~且因为钓鱼这种攻击手法与常规不同,可能某些单位绝大多数的安全意识都很好但是,只要有一个人安全意识薄弱,中招了,整个单位基本上可以直接出局了对于很多的成功,往往只需要一个突破口。04.案例(2020年的,不放图了)~常见01关于护网演习的紧急通知收件人: xxxxxxxxxxx根据集团信息中心安全处下发关于开展内部网络安全攻防演习的通知和集团公 司信息中心安全处关于开展内部网络安全攻防演练的工作布置,院内将在6月xx日-6月xx日进行攻防演练。请各事业部做好如下准备工作:1.杜绝机两网和非法外联, 确保终端防病毒软件全覆盖。2.杜绝弱口令、默认口令。组织修改操作系统、中间件、业务系统、OA、邮件、中间件、数据库、存在的默认口令、弱口令、空口令,删除无效账号或过期账号。禁止将口令明文存储于计算机内或张贴在显示器、办公桌等区域。3.修复安全漏洞。组织修复互联网漏洞服务平台前期暴露出的中高危漏洞。4.互联网资产整治。对于开放到互联网的服务端口进行梳理,关闭非必要端口。5.关闭互联网应用的服务管理后台,检查web管理后台是否可以通过互联网访问。禁止从互联网任意地址访问web管理后台或网络、安全设备管理界面。6.加强无线网络安全管理。务必修改无线网默认口令。7. 敏感信息管理。禁止在互联网发布和存储网络拓扑、系统源代码、账户口令、VPN账户口令等敏感信息。8.提高安全意识,在攻防演练期间不随意打开陌生可疑邮件及附件,不向身份不明人员提供系统账号口令,不允许无关人员进入办公场地。9.加强沟通和协调,如有出现异常情况第一时间上报。附件为补丁检测工具和使用说明,请按照附件使用步骤自行检测:1.下载附件YYY.exe. 该文件为安全补丁检测工具,会对电脑已安装的补丁进行检测,若存在安全问题会提示;否则,不会提示。2. 双击YYY.exe运行即可。若有其他问题可随时与信息中心安全处联系。附件:YYY.exe~常见02Sent: 2020-xx-xx xx:xxSubject: WPS Office补丁 紧急! ! !HW2019期间部署的测试版安全WPS存在漏洞,为避免安全隐患,请下载WPS Office补丁。安装方法:下载文件WPS_ Office补丁 rar解压后直接点击执行会提示选择默认WPS安装目录,选择目录后直接点击键补J即可完成补丁安装。本次补丁主要针对windows64位操作系统,有问题请联系。如不及时打补丁,触发漏洞会关联绩效注意事项:请右键以管理员权限运行,否则程序可能会闪退。附件:WPS Office补丁.rarpass:这种杀伤力较大的地方就在于:~“如不及时打补丁,触发漏洞会关联绩效”~这个发件人的邮箱来源是admin.xxx.com.cn(比较真实,且结文是“com.cn”)~这个邮箱发送的人非常的多,300+人  且都是一些信息化建设及其关键岗位的人~对目标信息充分了解,目标企业在19年就是部署了一个WPS(定制版),正常的升级就是通过这种打补丁的方式进行综合来说,这个邮件的成功率是这几个里最高的,木马本身比较简单,但是这个攻击手法前前后后花费却不少。~蹭热度发件人:  HR@xxx.com.cm2020年6月xx日xx:xx关于近期新发地疫情的通知收件人: xxxxx@com.cn北京近日连续爆发确诊病例和核酸检测阳性案例,都与新发地批发市场关联,新增新冠肺炎确诊病例均有新发地活动史。接上级要求,个人或同住家属在2020年5月xx日(含) 以后去过新发地市场,京深海鲜市场,近期有出现出现发热咳嗽的情况,请如实主动地向社区或单位报告,主动前往相关机构或在社区安排的地点进行核算筛查,做好个人健康监测。为了大家的健康安全,我单位现对公司人员进行近日出行情况统计,请大家如实填写,对于谎报瞒报的要严格追究法律责任。对14天内到过新发地人员统一进行核酸检测, 请填写附件表格并通过填报系统提交表格。附件XXXX-19.zip即为填报表格,下载解压填报提交即可。附件:XXXX-19.zippass:压缩包内,(x1.xlsx、x2.docx、填报系统.exe)像x1与x2都是正常的文件,但是这个exe正常人都应该怀疑一下吧~03利用特殊手法(这里以word举例)场景:下载一个压缩包(xxx党风建设...与wwlib.dll)正常攻击:双击xxx党风建设,一个东西一闪而过文件夹内就剩一个xxx党风建设.docx//此时已经完成攻击,打开生成的xxx党风建设.docx是正常内容原理:office在打开一些文件前会加载一些库文件,这些文件一般会存储在C盘,但是若是有一些必要加载文档在同文件夹下的话office会优先加载这个同文件夹下的配置文件这个恶意配置文件被加载的时候,即完成了攻击05.防御手法~护网期间统一不适用邮箱发送exe文件~不要随意打开“exe”,“bat”,“.vbs”或者不认识的其他后缀文件(尤其是压缩且带有解压密码的)~注意邮箱有无细微差别,如:xxxx.com.cn(真实的)xxxx.com.cm(虚假的)~看看上级单位名称,如:XXXX安全局管理处(真实的)XXXX安全中心处    (虚假的)~注意看看发件人,比如 HR@xxx.com.cn,明显的不正常~打开一些附件文件前请务必先进性安全扫描~不要打开未知发件人的office文件类型的邮件附件或者内部链接,要禁用宏~及时更新电脑系统和办公软件的安全补丁,安装杀毒软件~发现可疑邮件不要点击,不要打开,不要转发,已经点击程序的立即断网联系本单位安全管理人员//这也同时要求红方发送钓鱼邮件的时候,要对目标进行充分的信息收集//识破了对方的木马情况下,要对木马进行行为分析,寻找反击机会也是挺有意思的事情06.邮件头分析~From、X-SENDER:发件人~To、X-FST-TO:收件人~X-SENDER-IP:发件IP~X-Mailer:异常特征           //一般有这个东西的都是钓鱼邮件

二、威胁溯源

01.定义就是根据已经被攻击的事件,找到这个攻击者。02.警惕一些干红队的在HW期间进行的一些攻击尽量不要带有明显的个人因素,如:常用代号记得换换,一些敏感信息(微信号、QQ号不在公布在公网上)一些头像啥的记得换换03.注意~不放过任何蛛丝马迹,寻找任何奇怪的地方。~以攻击者的思路看待问题,思路走不通了去问问红队人员。~溯源要追溯到域名、邮箱、手机号、账号等特定信息。( 只有一个IP说明不了什么问题。)~应急处置跟溯源结合起来,要追溯到攻击者的互联网入口。~反向信息收集(QQ、微信、支付宝、邮箱、Github、 博客、乌云、个人网站、社工库...)~攻击者也是人---是人就会有破绽。

聊聊护网中常见钓鱼攻击思路相关推荐

  1. 基于windows中委派的攻击思路(下)-基于资源的约束性委派

    文章目录 1. 前言 2. 技术点 2.1 利用原理: 那么如何获得一个机器账户呢? 如何获得一个有权利修改msDS-AllowedToActOnBehalfOfOtherIdentity? 3. 利 ...

  2. Goby在护网中的应用

    1.Goby介绍 一个资产测绘工具,帮助企业解决资产测绘问题. 2.使用目的 2.1 提升攻击面检测效率 首先工具的目的一定是降本增效,那么Goby图形化比命令行会有不少的效率提升,因为减少了记忆命令 ...

  3. 护网中的分析研判岗有多重要

    护网中分析研判是属于高级工程师的工作,是攻防演练能否获胜的核心 响应作为遏制攻击.缩小攻击影响面的具体执行阶段,被视为攻防演练中的关键一步.但在对检测到的事件进行处置之前,有一个对事件从识别到评估的过 ...

  4. 护网中的分析研判岗工作内容

    护网中分析研判是属于高级工程师的工作,是攻防演练能否获胜的核心 响应作为遏制攻击.缩小攻击影响面的具体执行阶段,被视为攻防演练中的关键一步.但在对检测到的事件进行处置之前,有一个对事件从识别到评估的过 ...

  5. 从区块链中常见的攻击类型谈区块链的隐私与安全

    本文整理自Parity亚洲技术总监贾瑶琪先生在万向区块链蜂巢学院直播间进行的Web 3.0训练营公开课. 过去几年,从比特币到以太坊,区块链系统从最初的分布式账本功能,慢慢进化到现在类似于分布式计算机 ...

  6. 基于windows中委派的攻击思路(上)-约束性委派与非约束性委派

    文章目录 1. 前言 2. 发现具有委派关系的用户和计算机 2.1 原理 2.2 利用工具查找 1. ADFind 1.查询非约束委派的主机: 2.查询约束委派的主机 2. ldapsearch 1. ...

  7. 什么是护网(HVV)?需要什么技术?(内附护网超全资料包)

    一.什么是护网行动? 护网行动是以公安部牵头的,用以评估企事业单位的网络安全的活动. 具体实践中.公安部会组织攻防两方,进攻方会在一个月内对防守方发动网络攻击,检测出防守方(企事业单位)存在的安全漏洞 ...

  8. 什么是护网(HVV)?需要什么技术?

    一.什么是护网行动? 护网行动是以公安部牵头的,用以评估企事业单位的网络安全的活动. 具体实践中.公安部会组织攻防两方,进攻方会在一个月内对防守方发动网络攻击,检测出防守方(企事业单位)存在的安全漏洞 ...

  9. 护网是什么?怎么参加

    一.什么是护网行动? 护网行动是以公安部牵头的,用以评估企事业单位的网络安全的活动. 具体实践中.公安部会组织攻防两方,进攻方会在一个月内对防守方发动网络攻击,检测出防守方(企事业单位)存在的安全漏洞 ...

最新文章

  1. 皮一皮:现在上门流行这样了?
  2. ITK:在傅立叶域中过滤图像
  3. 定点化_mif文件生成
  4. 现代软件工程系列 学生读后感 梦断代码 SpringGreen
  5. 日产汽车宣布已关停日、英、美、南非、俄等地工厂
  6. 企业数字化转型热潮下,IT技术领导者的10大使命
  7. 6000件数字藏品上线秒空!“国宝级”数字藏品长这样
  8. 联想平板刷android,联想平板电脑刷机全教程【图文】
  9. 寻求 华中科大《机械控制工程基础》第五版习题参考答案
  10. Mybatis入门笔记
  11. 美国基础设施法案对该国加密矿业会产生什么影响?
  12. 以太坊的POS共识机制(二)理解 Serenity :Casper
  13. Linux——文件句柄数设置
  14. 土地生命周期管理-土地储备
  15. nyoj 541 最强DE 战斗力(大数问题)
  16. 华为董事会名单大曝光:孙亚芳任正非等13名董事
  17. Visual Studio 2005键盘锁定
  18. 为什么20M网速看视频不卡,玩游戏卡?
  19. 解决php导入淘宝助理csv文件乱码问题及解析
  20. 李毅中:加快产业结构调整 促进工业转型升级

热门文章

  1. Windows 8 傻瓜式安装教程
  2. 5.1再次优化httpserver
  3. inno setup检测安装路径是否包含中文
  4. 腾讯Coding的持续部署模块的使用。
  5. 数据结构— —单链表
  6. Wed APIS-Window对象、本地存储、数组的map()方法、数组的join()方法
  7. Qt开发技术:Q3D图表开发笔记(二):Q3DBar三维柱状图介绍、Demo以及代码详解
  8. Go语言的GPM调度器是什么?
  9. 【转】分享 Visa 问题准备
  10. STM32+雷龙SD NAND(贴片SD卡)完成FATFS文件系统移植与测试