攻防演练之-成功的钓鱼邮件溯源

书接上文,《网络安全攻防演练风云》专栏之攻防演练之-网络安全产品大巡礼二,这里。

演练第一天并没有太大的波澜,白天的时间过得很快。夜色降临,攻防演练中心内的灯光依旧明亮。对于网络安全团队来说,夜晚和白天并没有什么区别,攻击队的攻击从不分昼夜。

夜班的安排

由于攻防演练需要7*24小时的值守,因此每天的晚上必须安排人员进行值守,Nick在下班前将大家聚集了起来,谈论值守安排。

“各位,接下来是演练期间的夜间值守安排,”Nick在平静的说到。他的声音平稳而有力,显示出作为领导者的果断。“每晚需要两个人值守,确保我们能够及时应对任何突发情况。根据以往的经验,夜间的工作会相对的轻松。”

小白坐站在一个不起眼的角落,虽然他团队中的拼角,但他知道,作为团队里地位最低的成员,他将承担更多的夜间值守任务。

“首先,小白,你的值守安排是最多的,年轻人熬夜应该不成问题”,Nick看向小白,语气中带着一丝歉意,但更多的是理所当然的安排。

“没问题,Nick总,我可以的”,小白点点头,他早已做好心理准备。

“接下来,王工和我们团队的成员,每个人值守三个晚上。刘总,亮哥,你们三个人每人也值守一个晚上”,Nick继续安排道。

王工微微皱眉,但还是点了点头。他长期驻场,对甲方的环境非常熟悉,知道值守的必要性。虽然心中不情愿,但是没啥地位的他,他还是选择了服从安排。

亮哥则明显有些不悦,他们本身的目标和安服并不一致,何况对于他们这些职场老油条来说,熬夜值守无疑是最不愿意接受的任务。但是为了安服能够说几句产品的好话,他们也只能无奈接受。“好的,我们做好准备”,亮哥则说到,他知道在这样的团队中,有些事情是无法避免的。

“明白了,Nick”,刘总勉强一笑,内心却在盘算如何在这次演练中尽量减少自己的工作量。

安排结束后,团队成员们陆续离开,小白和Nick留下来继续熟悉夜间值守的流程。Nick走过来拍了拍他的肩膀,“小白,我知道这对你来说不容易,但是对于我们做安服的人来说,加班已经习以为常,将来你走进职场就会明白”。

“谢谢Nick总,我一定会努力的”,小白回应道。

值守的第一晚,小白和Nick一起值守。Nick虽然态度平静,但也不时露出倦意。

“小白,你觉得这种值守安排合理吗?”,Nick问道。

“合理不合理,不是我能决定的。”小白笑了笑,“不过,既然安排了,我就尽力做好吧。”

Nick没有做声,护网第一晚很平静,相安无事。

夜间值守的第二晚,小白和王工一起值守。王工坐在监控前,和小白一样,专心的处理一些日常的监控工作。

“王工,这种夜间值守的安排你觉得怎么样?”,小白小心翼翼地问道。

王工叹了口气,“其实,对我们这些老家伙来说,熬夜确实不容易。不过,安全工作需要人来做,年轻人多承担一些也是应该的。”

“我理解,”小白点点头,“不过,作为新手,我觉得这是一个很好的学习机会。”

“你这么想就对了”,王工笑了笑,“多学点东西,对你未来的发展有好处”。

值守的第三晚,小白和刘总一起值守。刘总明显不如王工那般专注,他不断走出演练大厅,似乎在期待时间快点过去。

“小白,你真能熬啊,年轻就是好”,刘总打了个哈欠说道。

“刘总,熬夜对我来说还好,主要是觉得能学到很多东西”,小白说道。

“是啊,年轻人有干劲是好事。不过你也要注意身体,别太拼了。”,刘总显得有些敷衍。

在这里插入图片描述

钓鱼邮件的发现

自从Nick交代小白每天盯紧邮件网关之后,作为学生的小白,十分的负责和兴奋。于是,他每天都特别留意那些被邮件网关判定为可疑或恶意的电子邮件。

由于小白白天在酒店休息,多数的工作时间是在晚上。每天晚上交班之后,小白都会第一时间打开电脑,进入邮件网关的监控界面,查看最新的可疑和恶意的邮件。他对需要二次判断的邮件的内容、发送者的IP地址、邮件头信息等都一一记录在案,并将这些信息汇总给Nick。

在这段时间里,小白连续向Nick报告了多次针对甲方的网络钓鱼活动,Nick对小白进行了鼓励。但他也告诉了小白,单靠邮件网关提供的信息还不够,要想形成有效的溯源报告,需要更多的情报和更深入的分析,当然有的时候是需要运气的。之前小白报告的诸多钓鱼邮件由于团队内部无法给出完整的攻击链,因此都被放弃继续分析。

尽管如此,小白并没有气馁。他每天依旧认真地盯着邮件网关,仔细观察每一封可疑邮件,试图发现有价值的内容。

演练活动进行到第三天,小白按照前几天的流程,把一封发送者伪装成甲方的合作伙伴,内容是要求接收者点击一个链接和附件,并填写身份信息的邮件的详细信息报告给了Nick,Nick照例组织团队进行分析。

深入溯源的过程

按照攻防演练规则的要求以及之前的经验,针对钓鱼邮件的攻击手段,需要能够给出邮件发送者相关信息的证据,收集邮件的目的是什么,才能被判定为有效的溯源报告。

“这个邮件服务器的IP地址是一台境外的云主机,最近被VT标记成为垃圾邮件。”

Brain是整个安服团队里面比较特别的一个,他之前有过红队的经历,今年开始从事蓝队的工作,因此在团队中他是最擅长从红队角度进行分析,因此团队中的反制工作往往是由他亲自操刀。因此溯源攻击者的工作,Nick便将工作交给了他。关于钓鱼连接和样本的分析工作,Nick则是将其交给了团队中一名擅长逆向工作的小志。

WEB邮箱,以及邮件服务器这些互联网的攻击面对于Brain来说,属于家常便饭。在Brain多年娴熟技巧的加持下,经过一个上午的努力,Brain成功在邮件服务器上找到了发送者的相关的操作记录。根据相关的日志记录,Brain能够确定的是实际的threat actor通过控制互联网一个邮箱服务器发送钓鱼邮件。但是是谁操控者这台服务器,短时间内无法对于邮件服务器进行全面的取证分析。Brain深知有些操作点到为止即可,因此他放弃了继续深入追踪的想法,转而整理分析思路进行归档。

另一边,小志也在对邮件的样本进行动态和静态的分析,沙箱报告显示,这些钓鱼链接均指向境外的非营利性网站。同时沙箱的样本报告也显示,样本在后台运行后,会启动定时任务,但是沙箱报告并没有显示网络连接的行为。为了进一步分析样本中其他的IOC,小志在小白等人惊讶的目光中炫耀了一把软件调式的艺术。代码显示该样本会在计算机重启之后收集本地的credential发向境外的不同地址。经过小志的一番骚操作之后,证明了URL和样本的目的是收集用户名和密码,并发送至控制的傀儡机。由于Nick深知对于傀儡机的取证也是吃力不讨好的,因此放弃了进一步的溯源,因此他们针对钓鱼邮件的溯源工作就此为止。

形成溯源报告

在基本搞清楚整个的来龙去脉之后,Nick便要求团队内唯一的女士小美按照Brain和小志的分析结果快速的出具溯源报告。小美是团队内非常重要的一名角色,主要负责溯源报告的输出以及团队的后勤工作。

在Nick的带领下,小美迅速整理了所有的溯源信息,形成了一份详细的溯源报告。报告不仅详细描述了攻击过程,还分析了攻击者的动机和可能的下一步行动。

“这份报告很全面。”Nick满意地点点头,“我们马上提交给裁判组。”

不久后,裁判组的反馈传来,他们对这份溯源报告给予了通过,认为这是一次有效的溯源。小白和他的团队成员们都非常兴奋,这是目前甲方第一份有效的溯源报告,为甲方取得开门红,也让他们对接下来的演练充满了信心。

“干得漂亮!”,Nick拍了拍小白的肩膀,“这次是一个好的开始,接下来我们要再接再厉,争取更多的输出。”

小白点点头,他深知这只是开始,接下来还有更多的挑战等着他们。但他对自己的团队充满信心,他相信只要大家齐心协力,一定能在这次演练中取得更多的成功。通过这次钓鱼溯源的成功,小白对演练工作蓝方的工作内容心中也有了底,小白对网络安全工作的理解也更加深入。他明白了溯源不仅仅是技术手段的运用,更是对细节的关注和对信息的综合分析。

在接下来的几天里,小白和他的团队继续保持高强度的工作,不断分析和处理各种可疑邮件和安全事件。他每天都在不断学习和进步,逐渐掌握了更多的技术和方法。

由于溯源的成功,Nick安排小美给大家每人点了一杯瑞幸咖啡,大家都非常的开心。

本故事中人物角色和故事情节纯属虚构,如有雷同,纯属巧合。

本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/708664.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

2024 年勒索软件将比以往更加残酷

如今,世界各地的人们去学校、去医院或去药店时,都会被告知:“抱歉,我们的计算机系统瘫痪了。” 罪魁祸首往往是在世界另一端活动的网络犯罪团伙,他们会要求人们支付系统访问费用或安全归还被盗数据。 尽管警方加大打…

Python数据分析与机器学习在医疗诊断中的应用

文章目录 📑引言一、数据收集与预处理1.1 数据收集1.2 数据预处理 二、特征选择与构建2.1 特征选择2.2 特征构建 三、模型选择与训练3.1 逻辑回归3.2 随机森林3.3 深度学习 四、模型评估与调优4.1 交叉验证4.2 超参数调优 五、模型部署与应用5.1 模型保存与加载5.2 …

数据治理新视角:质量与真实度提升,让数据更有价值!

在这个信息爆炸的时代,数据已经成为企业决策的重要依据。然而,数据的质量与真实度却往往成为制约其价值发挥的关键因素。本文将为您揭示数据治理的新视角,探讨如何提升数据质量与真实度,让数据真正发挥其应有的价值! 数…

机器学习与数据挖掘知识点总结(二)分类算法

目录 1、什么是数据挖掘 2、为什么要有数据挖掘 3、数据挖掘用在分类任务中的算法 朴素贝叶斯算法 svm支持向量机算法 PCA主成分分析算法 k-means算法 决策树 1、什么是数据挖掘 数据挖掘是从大量数据中发现隐藏在其中的模式、关系和规律的过程。它利用统计学、机器学…

GaussDB技术解读——GaussDB架构介绍(三)

目录 9 智能关键技术方案 智能关键技术一:自治运维系统 智能关键技术二:库内AI引擎 智能关键技术三:智能优化器 10 驱动接口关键技术方案 GaussDB架构介绍(二)从数据持久化存取层(DataNode)关键技术方案、全局事…

记一次 .NET某工控视觉自动化系统 卡死分析

一:背景 1. 讲故事 今天分享的dump是训练营里一位学员的,从一个啥也不会到现在分析的有模有样,真的是看他成长起来的,调试技术学会了就是真真实实自己的,话不多说,上windbg说话。 二:WinDbg …

通用大模型与垂直大模型:双轨并进的人工智能未来

在人工智能(AI)的浩瀚宇宙中,大模型以其强大的学习能力和广泛的适用性,正逐步成为推动技术进步和产业革新的核心动力。在这股浪潮中,通用大模型与垂直大模型如同两颗璀璨的星辰,各自散发着独特的光芒,共同照亮了AI发展…

用python脚本转换图片分辨率

一、使用说明 确定已经安装python,且版本3.6以上,可以用下面指令查看python版本:python --version 配置环境,第一次使用先配置环境,后面不需要 把要转换的图片放到"img"文件夹下 转换,结果保存…

Spring Security——基于MyBatis

目录 项目总结 新建一个项目 pom.xml application.properties配置文件 User实体类 UserMapper映射接口 UserService访问数据库中的用户信息 WebSecurityConfig配置类 MyAuthenticationFailureHandler登录失败后 MyAuthenticationSuccessHandlerw登录成功后 WebSecur…

c++实现二叉搜索树(中)

小吉我今天更新了,惊不惊喜,意不意外,更新频率非常好(棒棒的)。小吉计划把二叉搜索树的知识更新完(预计在这几天更完),然后会有一段时间停更,因为小吉我要准备期末考试&a…

5-1RT-Thread互斥量

5-1RT-Thread互斥量 互斥量斥量的管理方式 互斥量 互斥量又称为互斥型信号量,是一种特殊的二值信号量。以超市的储物柜为例,当用户A存入物品并关闭柜门,则用户A就获得了此格柜子的使用权。此时其他用户无法使用此个柜子,只有当用户…

Idea jdk配置的地方 启动时指定切换的地方

jdk 配置的地方 项目sdk 所在位置 管理添加或删除的地方,增加后,可以在在上面切换 启动时指定版本

正点原子imx6ull 进度条颜色、logo位置上偏或色偏等问题

正点原子imx6ull 进度条改颜色 logo位置上偏或显示色偏等问题 开机进度条logo问题进度条界面全屏logo位置上偏进度条界面logo其他问题进度条界面去掉中间这条杠 uboot界面logo问题不显示uboot界面的打印信息uboot显示logo不理想uboot不显示logo 开机进度条logo问题 进度条界面…

媲美Sora,免费使用!带物理模拟的,文生视频模型

6月13日,知名3D建模平台Luma AI发布最新文生视频模型Dream Machine,向所有用户免费开放使用。 Dream Machine除了支持文本之外,还可使用图片作为引导来生成视频,其生成的视频质量、动作一致性、色彩、光影、饱和度、运镜等方面&a…

EE trade:港股开户指南及所需条件

开通港股账户是许多投资者希望参与香港股票市场的重要步骤。以下是详细的港股开户要求和条件,以及开户流程和注意事项。 一、港股开户的基本条件 1. 证券账户及资金要求 A股证券账户:个人客户申请开通港股账户,需要已经开通上海或深圳的A股…

【YOLOv5/v7改进系列】改进池化层为RT-DETR的AIFI

一、导言 Real-Time DEtection TRansformer(RT-DETR),是一种实时端到端目标检测器,克服了Non-Maximum Suppression(NMS)对速度和准确性的影响。通过设计高效的混合编码器和不确定性最小化查询选择&#xf…

优思学院|如何选择六西格玛黑带的项目?

不管六西格玛的实施着重于变革式的还是渐进式的目标,项目都是六西格玛最核心的部分。选择和使用组织中最好的人才本身并不一定能保证达到最好的结果,项目的选取是领导层无可推卸的责任。选择一个项目意味着什么?领导团队必须将无数的问题、困…

【启明智显分享】Model系列工业级HMI芯片:开源RISC-V+RTOS实时系统,开放!高效!

前言 「Model系列」芯片是启明智显针对工业、行业以及车载产品市场推出的系列HMI芯片,主要应用于工业自动化、智能终端HMI、车载仪表盘、两轮车彩屏仪表、串口屏、智能中控、智能家居、充电桩显示屏、储能显示屏、工业触摸屏等领域。此系列具有高性能、低成本的特点…

Linux 基本指令3

date指令 date[选项][格式] %Y--年 %m--月 %d--日 %H--小时 %M--分 %S--秒 中间可用其他符号分割,不能使用空格。 -s 设置时间,会返回设置时间的信息并不是改变当前时间 设置全部时间年可用-或者:分割日期和时间用空格分隔&#xff…

【Android】实现Recyclerview的Item可以左右侧滑动的效果

项目需要 使用Recyclerview进行列表的数据加载的时候,需要对这个Item进行左右滑动进行操作的功能, 比如这样 需求实现 上面图来源于 https://github.com/anzaizai/EasySwipeMenuLayout 这是一个可以用来进行列表左滑、右滑的项目,可以集…