51工具盒子以下文章来源于小兵搞安全 ,作者simeon的文章
北京网际思安科技有限公司麦赛邮件安全实验室( MailSec Lab )研究发布了《 2022 年全球邮件威胁报告》(以下简称 " 报告 " ),报告数据显示:在 2022 年,全球每 1000 个邮箱,平均每月遭受的邮件攻击数量为 299.27 次(不含垃圾邮件),同比增加 12.36% 。钓鱼邮件攻击占比近 7 成。钓鱼邮件主要通过伪造发件人地址、发件内容,诱使被攻击者访问特定页面输入密码等信息,或者诱使被攻击者打开附件(伪造的 word 文件、压缩文件等),通过执行特定构造的附件来获取控制个人电脑等目的,精心构造的钓鱼邮件对企业安全威胁巨大,普通个人用户基本很难识别。下面通过一个真实的案例来介绍如何应对和防范钓鱼邮件攻击。
1. 钓鱼邮件辨别
1.1 接收到钓鱼邮件
如图 1 所示,收到一份"备案通知"这类邮件一般都会有一些指引性提示,让你进行下一步操作。在本例中是催促收件人对域名进行备案,在邮件中有一个立即备案的链接地址。
图 1 收到钓鱼邮件
1.2 钓鱼邮件的识别
钓鱼邮件是一种通过电子邮件发送的欺诈行为,该邮件通常伪装成合法实体(如银行,社交媒体平台、公司 HR 等),试图欺骗接收方提供敏感信息或进行不安全的操作。以下是几种识别钓鱼邮件的方法:
1. 邮件地址验证
查看发件人的电子邮件地址是否与合法公司或组织的电子邮件地址匹配。如果邮件地址看起来可疑或与真实地址不匹配,则很可能是一封钓鱼邮件。在进行邮件地址识别是一定要跟真实的邮件地址进行比对,攻击者会申请一个跟真实邮件地址比较混淆的地址,不容易分辨。
2. 嵌入式链接检查
将鼠标悬停在邮件中的链接上,查看链接指向的 URL 。如果链接看起来可疑或与所声称指向的网站不同,那么很可能是遭遇钓鱼邮件。
3. 内容检查
仔细查看邮件中的语法和拼写错误。钓鱼邮件通常含有拼写和语法错误,这些错误可能显示该邮件不是由合法公司或组织发送的。
4. 附加文件检查
如果附带的文件看起来可疑或与正常业务操作无关,则很可能是钓鱼邮件。切勿轻易下载或打开附件。查看邮件时可以先对附件进行查杀。
1.3 钓鱼邮件真实识别案例
1. 通过发件人地址识别
在本例中将鼠标移动到发件人中可以看到发件人真实地址为 Cher@lifeacademy.org ,发件人名称构造的是 si**-c*.com 。如图 2 所示。
图 2 通过发件人地址识别
- 通过邮件内容识别
在本例中查看邮件底端内容,发现为乱码,如图 3 所示。
图 3 通过邮件异常内容识别
3. 通过"引导地址"识别
在邮件内容中有一个 "立即备案" 链接地址,该地址为 www.oalkmail.xyz 访问该地址后要求用户填写公司邮箱地址、登录密码、原始密码、公司职位及手机号码等。如图 4 所示。正规的网站地址不会是 xyz 后缀结尾的。明显可以看出该网站是伪造 QQ 登录邮箱。
图 4 收集邮箱密码等信息
1.4 原始邮件内容分析
通过 foxmail 等工具找到该邮件,直接将其导出为 eml 文件,导出后通过 notepad 等工具打开,对其中的邮件正文可以通过 base64 解码直接查看原文,如图 5 所示,可以提取以下有用信息:
1. 发送邮件服务器
Received: from mail.lifeacademy.org (unknown [60.250.58.68])
2. 发件人邮件地址
Cher@lifeacademy.org
3. 伪造的网站域名地址
www.oal***l.xyz
图 5 原始邮件内容
- 对邮箱及域名信息进行查询
( 1 ) Cher@lifeacademy.org 及域名 lifeacademy.org ,搜索该结果显示为一个宗教类型的网站,如图 6 所示,域名备案跟这个是风马牛不相及。
图 6 域名及邮件关键字查询
- 钓鱼邮件溯源分析 ===========
2.1 威胁情报分析
( 1 )通过 360 威胁情报对其进行查询
如图 7 所示,显示为"钓鱼、欺诈地址、黑灰产"情报标签。其 IP 解析地址为: 103.117.72.61
图 7 威胁情报分析
( 2 )同 IP 域名解析
对该域名解析 IP 同域名进行查看,如图 8 所示,获取多个类似诈骗网站地址信息。
图 8 获取同 IP 多个解析域名信息
2.2 源代码分析
打开诈骗 www.oalkmail.xyz 网站地址,对其首页查看源代码,通过源代码可以获取该网站是 thinkphp 编写,如图 9 所示。
图 9 通过源代码获取开源程序
2.3 漏洞利用及分析
通过 thinkphp 漏洞利用工具对该目标站点所有漏洞进行检测,发现存在日志泄漏,如图 10 所示。
图 10 漏洞利用检测
- 获取并下载日志文件
对目标站点进行日志遍历,例如 https://www.oa*****.xyz/runtime/log/202304/14.log 获取所有日志文件,将其下载到本地。打开所有的日志文件并搜索 password 关键字,如图 11 所示,获取后台账号密码。
图 11 搜索后台管理员密码
- 登录后台
使用账号及密码: admin/2699ExJZJr!@#*' 直接登录后台(后台日志文件也能获取后台地址)如图 12 所示。
图 12 获取并登录后台地址
- 后台获取所有钓鱼信息
如图 13 所示,在后台获取诈骗分子钓鱼获取的所有信息,包含姓名、手机、邮箱及密码等信息。
图 13 获取所有被钓鱼人员信息
- 其他延伸
通过 fofa.info 对域名进行拓展,获取该 IP 下端口开放情况,如图 14 所示,该站点采用宝塔面板进行管理和部署,如图 15 所示。根据经验基本为诈骗团伙所用。
图 14 信息拓展
图 15 宝塔控制面板
- 后记
随机对钓鱼获取的账号和密码信息进行测试,基本都能成功登录邮箱,如图 16 所示。
图 16 登录邮箱验证
3. 钓鱼邮件攻击防范
3.1 增强员工安全意识
企业可以通过定期开展安全培训或者发送警示邮件等方式提高员工的安全意识,使他们更加警觉,并且知道如何识别钓鱼邮件。
3.2 识别钓鱼邮件
用户在收到邮件后要审慎地阅读邮件内容、查看邮件中的链接是否为合法链接、检查邮件的发送人是否真实等,以及注意检查邮件的附件是否真实合法。
3.3 更新防病毒软件
保持系统和防病毒软件的最新版本,可以帮助防御各种病毒和恶意软件。
3.4 加强网络与数据安全措施
企业要建立完善的网络和数据安全措施,并采用防火墙、数据加密等技术手段进行防范。
综上所述,提高员工的安全意识,识别钓鱼邮件,更新防病毒软件,加强网络与数据安全措施,可有效防范钓鱼邮件攻击
本文作者: Ms08067安全实验室
本文为安全脉搏专栏作者发布,转载请注明: https://www.secpulse.com/archives/201168.html
