网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

坏消息：近期，“银狐”钓鱼事件频发，此次传播的木马病毒伪装成一个“工资调整”文件，诱惑性极强，谁看了不迷糊呢？

更坏的消息：年底了，黑客也要冲击自己的KPI，业界戏称“达则0day攻击，穷则社工钓鱼”，火药味儿正浓。

从全年整体趋势来看，在实战攻防演练中，社工钓鱼也逐渐成为攻击队的常见“利器”：

1．某金融机构经深信服XDR检测到员工主机存在APT钓鱼投毒样本，经确认为员工微信群消息自动下载文件，所幸的是，该文件并未被执行解压。

2．某头部银行检测到一台终端访问了某CS域名，因无法溯源到钓鱼终端，最终采用强制断网措施。

3．某大型上市企业疑似员工打开了双后缀钓鱼文件，通过EDR采集端侧行为日志，经XDR告警定性，确认为定向攻击。

钓鱼攻击可以很巧妙地针对不同人员的业务和人性特点，定制攻击方案与话术：

“请下载附件查看详细信息。”

“您的账号登陆异常，请及时处理！”

……

当您看到这样的“话术”，可要提起十二万分的精神。一旦按照话术进行操作，您的终端将犹如“人质”被挟持，“帮助”攻击者完成后续入侵流程。

常见的钓鱼入侵流程

第一步：用户运行恶意程序文件，该文件释放魔改CS马的主程序，并且自动添加任务计划，包括开机启动和定时执行木马，并主动向CDN域名发起请求，例如：（＊．cdn．abc．com．cn）。

第二步：成功上线后，攻击者使用CS插件一键自动化采集本地信息，如主机信息、网络信息等，还会使用mimikatz工具获取主机的登录口令，并使用临时文件传输工具下载恶意文件如fscan、frp等。

第三步：攻击者一般使用frp之类的代理工具访问内网应用，手法隐蔽。

第四步：实施攻击后渗透，初级攻击者可能会使用fscan工具，快速发现目标网络的弱点。而高级攻击者则会更加谨慎，使用已经收集到的账号密码访问网站／应用，或进行低频率暴破。如果某些应用存在RCE漏洞，也会被攻击者利用。

总之，攻击者钓鱼成功后的目标就是寻找靶标的位置，并在内网中进行横向移动，突破防御，控制更多的节点。

千防万防，社工钓鱼难防。如此被动的局面下，真的无计可施？

莫慌，深信服身经百战，基于钓鱼攻击入侵过程的研究，已生成两套“独家秘籍”，并亲身实践，认证有效。

防社工钓鱼秘籍

秘籍一：

XDR＋GPT安全运营“智能驾驶”模式

以高质量的遥测数据为基础，以「开放平台＋领先组件＋云端服务」为落地，用户在日常安全运营与实战攻防对抗中，通过深信服XDR平台多源数据聚合分析、极致告警降噪等能力，可以在海量日志中快速定位钓鱼事件；结合安全GPT 2．0“智能驾驶”能力，将实现“秒级闭环，百倍提效，千万级降本”的效率和能力跃升。

XDR分钟级检测研判，一键智能响应

（1）检测层面

经验丰富的攻击者都非常谨慎，钓鱼入侵行为都会事先做绕过测试，这就导致一般的端点和流量检测设备不会有明显的告警。

如一个用户点击程序文件，释放了文件，添加了任务计划，请求了xxx．cn．cdn．abc．com．cn，这里每一个行为单独看都可以认为是正常情况，在单一的端点或流量侧组件视角无法精准体现告警。

而通过XDR平台多源数据聚合、网端关联分析能力，则可以把单位时间内的日志聚合，形成多个告警，将每一个告警作为事件判断可信度的依据之一，并通过攻击故事线，将钓鱼攻击事件各个阶段描绘出来。

（2）响应层面

钓鱼攻击一般通过跳板实施，成熟的攻击团队在钓鱼终端上线成功后，可做到分钟级完成入侵，因此如何智能快速响应、抢先攻击者一步，这是对防守方极具难度的考验。

深信服XDR平台可提供两种响应处置方式：

一是联动SOAR自动处置，基于前期的资产梳理，提前设置响应剧本、配置触发条件，一旦识别到钓鱼事件时，自动执行响应剧本并发送消息到安全运营工作群或指定责任人，可配置的剧本动作包括（封锁IP、拦截域名、隔离文件，阻断进程等）。

二是智能对抗，XDR平台内置的通用高危高可信的响应剧本，在检测到特定的恶意访问行为后，自动执行拦截封堵，无需进行额外操作。

△深信服亲身实战效果

2．安全GPT 2．0实现效率与能力跃升

安全GPT 2．0作为安全运营智能助手，实现全天候智能值守，将进一步突破用户人员能力和精力瓶颈，提升安全运营效率和效果。