X站釣魚郵件應急響應案例分析
“據粉絲爆料,1月5日凌晨,X站公司內部郵件發了全員釣魚連結,多位同事中招,受騙金額總計8萬左右。從5日凌晨2點到下午1點IT才把釣魚郵件刪除完。內部沒有發全員郵件告知,導致不斷有人受騙。在員工接連受騙的情況下沒有第一時間通知全員。全員郵件也不發一個,一分錢賠償也沒有。”
而從該微博內容附件的圖片顯示,受害員工成立了“釣魚郵件受害者”群,目前群內有72人,有X站受騙員工諮詢相關部門HR得到的回覆是,建議同事自行報警。群內部分員工認為,“從企業郵箱發出來的郵件導致員工受騙,難道企業不應該承擔後續責任嗎?”更有員工稱“錢我沒追回來,但是做做樣子報案,說點啥也好呀。”、“但公司一點責任都不想付。”
我覺得這個Case挺有教育價值,拿來跟大家簡單分享一下,同時也給我們自己提出一個問題,如果是我們遭遇這種攻擊,我們的應急響應支撐模型是否足夠做到快速響應?我們不說高大上的所謂的應急預案,我們需要能落地實行,能幫助我們SOC工程師進行快速響應,快速定位的具體步驟提案。
針對SCF(Security Control Framework)框架下的應急響應步驟,我更傾向於SANS的這一套,即PICERL流程,針對X站的釣魚郵件,我們嘗試通過建模應對該釣魚郵件的應急響應流程。
建模之前,需要先針對性的提出一些問題,並圍繞該問題進行解決才有實際落地的意義:
- 使用者郵箱,密碼洩露,洩露來源來自於其他釣魚郵件?
- X站用的是Exchange Online,郵箱OWA登入有沒有MFA啟用?
- 如果為第3方郵箱傳送,SPF/DKIM/DMARC怎麼繞過的?(不在本案討論範圍)
- 郵件中含有繁體字眼,員工怎麼如此容易中招?有否定期做釣魚郵件安全意識培訓?
- X站釣魚郵件檢測機制是否有優化的可能?
- X站釣魚郵件應急處置是否有釣魚郵件上報途徑?
- X站釣魚郵件刪除工作,持續了大約11個小時,是否有改善基礎?
- X站針對惡意事件爆發情況,有沒有施行快速應急熔斷機制?
Identification,檢測
- 來自於SIEM監控平臺的其他關聯告警
- 來自於郵件伺服器平臺病毒,沙箱告警,含且不僅含HASH, IP以及域名等
- 來自於使用者的釣魚郵件通知
Analysis,分析
- 獲取受害者使用者郵箱
- 獲取受害者使用者名稱
- 獲取受害者主機名
- 獲取受害者網路連線資訊
- 獲取受害者主機程式資訊
- 獲取受害者瀏覽器訪問記錄
- 獲取釣魚郵件的域名信譽值分析
- 獲取釣魚郵件的附件以及URL的信譽值分析
- 獲取釣魚郵件的巨集分析情況
- 獲取釣魚郵件的沙盒執行狀況以及截圖
- 獲取可疑受感染的其他使用者,包括收件人,轉發,回覆,點選以及相關聯的資料
Containment,控制
- 關閉攻擊向量,含且不僅含殺掉執行程式,殘留檔案,檔案控制程式碼等
- 限制網路連線,通過防火牆或者主機HIDS,進行埠限制,比如僅保留3389等埠作為調查取證備用
- 隔離主機,可通過終端控制系統,比如EDR等進行隔離阻斷
- 重置使用者密碼
- 重置使用者MFA
- 重啟,關機,PE啟動等
Eradication,消除
- Ban釣魚郵件所提供的可疑域名
- Ban釣魚郵件所提供的可疑連結
- Ban釣魚郵件所提供的附件雜湊
- Ban釣魚郵件在沙盒中所涉及到的C2伺服器IP地址
- 禁用使用者賬戶
- 遠端刪除伺服器上符合釣魚郵件涉及到的相關郵件
- 提交釣魚郵件相關IOC給安全供應商
Recovery,恢復
- 檢查受害者主機補丁更新情況
- 檢查受害者主機防病毒以及終端控制系統EDR的啟用情況
- 採用第3方防病毒程式執行全盤掃描
- 恢復使用者禁用賬號
- 恢復受限網路
- 重置映象
- 使用者安全意識培訓以及考核
Lesson Learned,反思
- 究竟發生了什麼,在什麼時候?
- 工作人員和管理層在處理事件時的表現如何?
- 什麼樣的資訊需要最快獲得?
- 是否採取了任何可能阻礙擴散的步驟或恢復行動?
- 下次發生類似事件時,工作人員和管理層會採取什麼不同的做法?
- 如何改進與其他部門的資訊共享?是否有通用釣魚郵件上報渠道?
- 哪些糾正措施可以防止未來發生類似事件?
- 今後應注意哪些前兆或指標以發現類似事件?
- 需要哪些額外的工具或資源來檢測、分析和緩解未來的事件?
- 是否遵循了規定的標準程式? 是否足夠?
- 是否能自動化應急響應流程,從而能更快速的處置以及應對危害。
具體施行步驟我就不再贅述,每個企業的安全運營模式都有所不同,需要不同的適配工作,從而摸索出最適合本企業的最佳實踐,照搬可能存在無法推進的問題,但SCF框架模型卻存在可取性,不同企業也能根據這樣的框架進行自問自答,不停調整和優化,從而能更加高效地快速發現,快速響應,快速恢復。
來自 “ Freebuf ”, 原文作者:老狼餓了;原文連結:https://www.freebuf.com/articles/es/321412.html,如有侵權,請聯絡管理員刪除。
相關文章
- 釣魚篇-郵件釣魚
- 郵件釣魚攻擊與溯源
- 應急響應:日誌分析
- 關於釣魚郵件,你知道多少?
- “企業應急響應和反滲透”之真實案例分析
- 最新釣魚郵件曝光:偽裝成Office 365未送達郵件
- 【應急響應】Windows應急響應入門手冊Windows
- 這樣的釣魚郵件,你會中招嗎?
- 美團被爆用釣魚郵件獲拼多多薪資資訊,電商企業如何防範釣魚郵件?
- windows應急響應(二)Windows
- 應急響應命令(Linux)Linux
- Linux應急響應排查Linux
- 2021年Q2郵件安全報告:釣魚郵件季環比增長21.27%
- 這幾種釣魚郵件,你一定不陌生~
- 釣魚郵件真假難辨?幾招教你如何辨別
- 為什麼釣魚郵件備受駭客青睞
- 企業側應急響應的典型場景與案例分享
- 什麼是應急響應?網路安全應急響應體系的要素!
- Windows應急響應小結Windows
- Linux應急響應小結Linux
- 應急響應- Linux入侵排查Linux
- 應急響應-webshell查殺Webshell
- 應急響應靶機-3
- 應急響應靶機-4
- 5.28應急響應思路流程
- 什麼是應急響應?網路安全應急響應的物件是什麼?物件
- 為什麼需要應急響應?網路安全應急響應需要做什麼?
- 基於釣魚郵件測試的安全意識教育方法
- windows伺服器應急響應Windows伺服器
- 看雪應急響應服務
- Windows應急響應-個人整理Windows
- 應急響應知識彙總
- 網路安全事件應急響應事件
- 玄機-第二章日誌分析-mysql應急響應MySql
- 掌握這些方法,輕鬆識破釣魚郵件的偽裝
- 【網路安全】組織為什麼需要應急響應?應急響應需要做什麼?
- 2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬REMAI
- 釣魚郵件翻倍!2021年Q4企業郵箱安全報告出爐!