啥？接下來每天都能“釣魚”？

2024-06-13 17:29
微步在線

釣魚佬最開心的事情，莫過於可以像上班一樣，進行常態化釣魚。你要是問他們今天釣沒釣到魚，只會換來一句回答：釣魚佬永不空軍。

點還是不點，這是一個問題

“這簡歷看起來不錯啊。”作爲一名招聘HR，他在朋友圈發了一條招聘廣告。沒過多久，就有陌生人加他好友併發來了一份簡歷。

“是挺不錯的，可以約下面試。”用人部門回覆的也非常乾脆。

不過，在發出面試邀請之後，這名HR等到的並不是候選人的同意，而是公司網絡安全部門的小窗：你好，我們這邊收到OneSEC告警，顯示你電腦疑似感染木馬……

這是去年8月發生的，一次利用社交軟件的釣魚攻擊。

在去年攻防演習期間微步捕獲的數百個釣魚樣本中，釣魚佬使用了各種迷惑性的主題，如簡歷、喫瓜、騷擾、曝光、補貼、社保、薪資等，總之一切可以吸引人眼球的東西，用於吸引受害者的點擊。

甚至直接用大模型應用批量生成釣魚內容。

有用，但不完全有用

針對惡意文件，釣魚佬會做一些比較初級的僞裝，比如更改文件名、圖標、隱藏或者反轉文件擴展名，使其看起來像是一個正常的文檔，就像這樣：

與此同時，爲了確保繞過殺毒軟件的文件掃描，釣魚佬會配合使用更高級的攻擊手法，例如：

0day利用

去年8月，微步捕獲了某辦公軟件的0day在野攻擊事件，攻擊者利用該漏洞可生成釣魚文檔，只需用戶打開文檔便可觸發攻擊代碼。

漏洞觸發後，會反連一個外部鏈接並遠程下載惡意文件，從而執行後續攻擊命令。

dll劫持

同樣是去年8月，微步捕獲了一個文件名爲xxx詳細規範.docx（實際後綴爲.exe）的釣魚文件。應用程序執行後，會在特定目錄下創建一個白文件（具備合法簽名）和一個惡意dll，以“白加黑”的方式繞過殺軟檢測。

無文件攻擊

在微步捕獲的銀狐黑產工具中，利用圖片隱寫Shellcode已經被廣泛使用。攻擊者在誘導用戶點擊釣魚程序後會返連C2，然後將一張圖片加載到內存中。用戶看到的就是一張圖片（不影響圖片的正常顯示），但在內存中該圖片會解密釋放出惡意代碼，並創建計劃任務實現開機啓動。

整個過程沒有任何傳統意義上的惡意文件下載到硬盤上。

由於免殺效果好，上述攻擊手法受到了攻擊者的廣泛歡迎，並大量應用於實戰攻防演習。

因此，相較於依賴殺軟，保持警惕性纔是拒絕網絡攻擊的第一準則，比如不點擊安全性未知的文件、鏈接，不插來源不明的U盤等，不給釣魚佬可乘之機。

但即便釣不到魚，釣魚佬也不會坐等空軍，因爲他們還會“下網捕魚”。

例如軟件供應鏈攻擊。

去年8月，OneSEC檢測到某用戶辦公電腦啓動了惡意dll和遠控軟件。

安全人員本以爲是一次常規的釣魚攻擊，但分析顯示，攻擊者劫持了某辦公軟件的雲服務進程，向用戶投遞惡意代碼。惡意代碼會拉取遠控軟件，幫助攻擊者完成後續攻擊行爲。整個過程沒有任何用戶交互動作，與釣魚毫無關係。

由於該辦公軟件用戶數量龐大，理論上攻擊者可以通過供應鏈，向所有用戶發起攻擊。

檢測文件？檢測行爲

顯而易見，基於文件檢測技術的殺軟，在終端上的攻防對抗已捉襟見肘。

但有一點可以確定，0day利用也好、無文件攻擊也罷，任何網絡攻擊都需要一系列行爲去支撐，包括但不限於進程創建、驅動程序加載、註冊表修改、磁盤訪問、內存訪問和網絡連接等，從而實現竊取、提權、橫移、持久化等多種目的。

EDR的出現，能夠很大程度上彌補殺毒軟件在行爲發現方面的缺失。這話說起來容易，但想要做到並非易事。

首先是具備全量終端行爲事件採集能力，這是發現異常的前提。事件採集既要足夠全面，具備足夠細的顆粒度，也要遵循最小必要原則，不過多佔用內存、帶寬等系統資源。OneSEC支持採集100多種終端行爲數據，全面覆蓋網絡、文件、進程、註冊表、外設、內存等各個類型。

其次是具備精準的檢測能力，從海量行爲數據中準確發現異常，誤報、漏報都要儘可能降低。OneSEC具備百億級別的雲查Hash、失陷檢測IoC、行爲檢測IoA、圖關聯檢測等多項檢測技術綜合判定產生告警。如果發現有內存注入等可疑行爲，還會調用內存掃描，檢測注入到內存中的惡意代碼。

譬如在上文提到的0day攻擊事件中，微步OneSEC和雲沙箱便採集並檢測到了多個異常行爲：

文檔運行後產生了與無關的網絡活動，反連可疑鏈接；
在特定目錄下創建了一個白文件和一個可疑dll文件；
dll文件執行後，會從雲端加載下一階段攻擊載荷，反連C2來控制受害主機。

如果將上述可疑行爲串聯在一起，一次釣魚樣本的活動行爲便清晰明瞭。

真的搞定了嗎

檢測發現之後，響應能力就成爲了關鍵。在實際攻防過程中，許多人都有下面類似的經歷：

殺軟報毒→殺掉相關進程→以爲沒事了→進程復活了→再次kill……

只定位到了惡意進程，但並不明確是誰在反覆啓動相關進程，只會陷入上述死循環中。

想要跳出循環，要麼“break”直接終止處置過程；要麼觸發了關鍵結果，“continue”到下一個階段。

這個關鍵結果就是攻擊源。

OneSEC具備追溯到執行源頭的串鏈能力，可以準確定位釣魚攻擊源頭，包括攻擊源、事件源、進程源，爲響應處置提供準確依據。如下圖所示：

在此基礎上，OneSEC提供了豐富的響應動作和逆向操作：包括基礎的隔離文件、隔離進程、隔離終端、阻斷網絡，高階的持久化清理如服務禁用、註冊表清理、註冊表刪除及其逆向操作等，可根據攻擊過程自動化生成處置建議，對常見威脅下發自動化響應策略。

如果還是搞不定，也別擔心，OneSEC提供了MEDR模塊，由微步安全專家協助遠程運營。具體包括：

由微步專家團隊在雲端對OneSEC每日告警進行研判，給出處置建議；
依託於產品能力下發處置動作，協助用戶進行處置閉環；
針對高危事件提供整體分析結果，包括時間線、影響面、攻擊手法、處置建議等；
協助用戶對產品進行策略優化，提高防禦和運營效率；
針對APT、流行性木馬等風險項，開展威脅分析和拓線，發現潛在的攻擊行爲；
對安全態勢、事件追蹤、處置結果等，輸出週期性彙總報告。

在特殊時期（你懂得），用戶可以開啓重保模式，可基於重保情報進行檢測與快速響應。

除此之外，OneSEC還提供了一個更爲簡單有效的模塊：OneDNS。作爲一款安全DNS服務，當監測到惡意程序反連C2時，OneDNS可根據高精準威脅情報，實時阻斷域名解析過程，起到中止網絡攻擊的目的。

各司其職

事實上，OneSEC共包含了五大模塊：EDR、殺毒、MEDR、終端管控和OneDNS。這五大模塊各司其職、互不耦合，既可獨立部署，也支持按需插件式啓用。

所有這些只需要一次安裝一個輕量級Agent，而且能夠和企業現有的終端安全產品完美兼容。

在OneSEC Mac版的正式發佈之後，OneSEC已完成了對Windows終端和Mac終端的全覆蓋，安全運營人員可通過服務端對各分支機構、不同類型終端進行統一管理。

隨着網絡安全防禦體系的日漸完善，想要直接突破網絡邊界已經變得不那麼容易。因此，針對辦公終端的攻擊，變得越來越普遍。得手之後，攻擊隊可以迅速在辦公網內部橫向移動，尋找機會拿下靶標。

微步OneSEC就是那名終端守護者。

安全傳送門

釣魚防不勝防？

試試微步OneSEC

▼

掃碼在線溝通

↓↓↓

點此電話諮詢

· END ·