年底黑客“冲业绩”,钓鱼攻击怎么防?
时间:2023-11-25 08:47 来源:网络整理 作者:墨客科技 点击:次
坏消息:近期,“银狐”钓鱼事件频发,此次传播的木马病毒伪装成一个“工资调整”文件,诱惑性极强,谁看了不迷糊呢? 更坏的消息:年底了,黑客也要冲击自己的KPI,业界戏称“达则0day攻击,穷则社工钓鱼”,火药味儿正浓。 从全年整体趋势来看,在实战攻防演练中,社工钓鱼也逐渐成为攻击队的常见“利器”: 1.某金融机构经深信服XDR检测到员工主机存在APT钓鱼投毒样本,经确认为员工微信群消息自动下载文件,所幸的是,该文件并未被执行解压。 2.某头部银行检测到一台终端访问了某CS域名,因无法溯源到钓鱼终端,最终采用强制断网措施。 3.某大型上市企业疑似员工打开了双后缀钓鱼文件,通过EDR采集端侧行为日志,经XDR告警定性,确认为定向攻击。 钓鱼攻击可以很巧妙地针对不同人员的业务和人性特点,定制攻击方案与话术: “请下载附件查看详细信息。” “您的账号登陆异常,请及时处理!” …… 当您看到这样的“话术”,可要提起十二万分的精神。一旦按照话术进行操作,您的终端将犹如“人质”被挟持,“帮助”攻击者完成后续入侵流程。 常见的钓鱼入侵流程 第一步:用户运行恶意程序文件,该文件释放魔改CS马的主程序,并且自动添加任务计划,包括开机启动和定时执行木马,并主动向CDN域名发起请求,例如:(*.cdn.abc.com.cn)。 第二步:成功上线后,攻击者使用CS插件一键自动化采集本地信息,如主机信息、网络信息等,还会使用mimikatz工具获取主机的登录口令,并使用临时文件传输工具下载恶意文件如fscan、frp等。 第三步:攻击者一般使用frp之类的代理工具访问内网应用,手法隐蔽。 第四步:实施攻击后渗透,初级攻击者可能会使用fscan工具,快速发现目标网络的弱点。而高级攻击者则会更加谨慎,使用已经收集到的账号密码访问网站/应用,或进行低频率暴破。如果某些应用存在RCE漏洞,也会被攻击者利用。 总之,攻击者钓鱼成功后的目标就是寻找靶标的位置,并在内网中进行横向移动,突破防御,控制更多的节点。 千防万防,社工钓鱼难防。如此被动的局面下,真的无计可施? 莫慌,深信服身经百战,基于钓鱼攻击入侵过程的研究,已生成两套“独家秘籍”,并亲身实践,认证有效。 防社工钓鱼秘籍 秘籍一: XDR+GPT安全运营“智能驾驶”模式 以高质量的遥测数据为基础,以「开放平台+领先组件+云端服务」为落地,用户在日常安全运营与实战攻防对抗中,通过深信服XDR平台多源数据聚合分析、极致告警降噪等能力,可以在海量日志中快速定位钓鱼事件;结合安全GPT 2.0“智能驾驶”能力,将实现“秒级闭环,百倍提效,千万级降本”的效率和能力跃升。 XDR分钟级检测研判,一键智能响应 (1)检测层面 经验丰富的攻击者都非常谨慎,钓鱼入侵行为都会事先做绕过测试,这就导致一般的端点和流量检测设备不会有明显的告警。 如一个用户点击程序文件,释放了文件,添加了任务计划,请求了xxx.cn.cdn.abc.com.cn,这里每一个行为单独看都可以认为是正常情况,在单一的端点或流量侧组件视角无法精准体现告警。 而通过XDR平台多源数据聚合、网端关联分析能力,则可以把单位时间内的日志聚合,形成多个告警,将每一个告警作为事件判断可信度的依据之一,并通过攻击故事线,将钓鱼攻击事件各个阶段描绘出来。 (2)响应层面 钓鱼攻击一般通过跳板实施,成熟的攻击团队在钓鱼终端上线成功后,可做到分钟级完成入侵,因此如何智能快速响应、抢先攻击者一步,这是对防守方极具难度的考验。 深信服XDR平台可提供两种响应处置方式: 一是联动SOAR自动处置,基于前期的资产梳理,提前设置响应剧本、配置触发条件,一旦识别到钓鱼事件时,自动执行响应剧本并发送消息到安全运营工作群或指定责任人,可配置的剧本动作包括(封锁IP、拦截域名、隔离文件,阻断进程等)。 二是智能对抗,XDR平台内置的通用高危高可信的响应剧本,在检测到特定的恶意访问行为后,自动执行拦截封堵,无需进行额外操作。 △深信服亲身实战效果 2.安全GPT 2.0实现效率与能力跃升 安全GPT 2.0作为安全运营智能助手,实现全天候智能值守,将进一步突破用户人员能力和精力瓶颈,提升安全运营效率和效果。 (责任编辑:admin) |