当前位置: 首页 > news >正文

攻防演练之-成功的钓鱼邮件溯源

书接上文,《网络安全攻防演练风云》专栏之攻防演练之-网络安全产品大巡礼二,这里。

演练第一天并没有太大的波澜,白天的时间过得很快。夜色降临,攻防演练中心内的灯光依旧明亮。对于网络安全团队来说,夜晚和白天并没有什么区别,攻击队的攻击从不分昼夜。

夜班的安排

由于攻防演练需要7*24小时的值守,因此每天的晚上必须安排人员进行值守,Nick在下班前将大家聚集了起来,谈论值守安排。

“各位,接下来是演练期间的夜间值守安排,”Nick在平静的说到。他的声音平稳而有力,显示出作为领导者的果断。“每晚需要两个人值守,确保我们能够及时应对任何突发情况。根据以往的经验,夜间的工作会相对的轻松。”

小白坐站在一个不起眼的角落,虽然他团队中的拼角,但他知道,作为团队里地位最低的成员,他将承担更多的夜间值守任务。

“首先,小白,你的值守安排是最多的,年轻人熬夜应该不成问题”,Nick看向小白,语气中带着一丝歉意,但更多的是理所当然的安排。

“没问题,Nick总,我可以的”,小白点点头,他早已做好心理准备。

“接下来,王工和我们团队的成员,每个人值守三个晚上。刘总,亮哥,你们三个人每人也值守一个晚上”,Nick继续安排道。

王工微微皱眉,但还是点了点头。他长期驻场,对甲方的环境非常熟悉,知道值守的必要性。虽然心中不情愿,但是没啥地位的他,他还是选择了服从安排。

亮哥则明显有些不悦,他们本身的目标和安服并不一致,何况对于他们这些职场老油条来说,熬夜值守无疑是最不愿意接受的任务。但是为了安服能够说几句产品的好话,他们也只能无奈接受。“好的,我们做好准备”,亮哥则说到,他知道在这样的团队中,有些事情是无法避免的。

“明白了,Nick”,刘总勉强一笑,内心却在盘算如何在这次演练中尽量减少自己的工作量。

安排结束后,团队成员们陆续离开,小白和Nick留下来继续熟悉夜间值守的流程。Nick走过来拍了拍他的肩膀,“小白,我知道这对你来说不容易,但是对于我们做安服的人来说,加班已经习以为常,将来你走进职场就会明白”。

“谢谢Nick总,我一定会努力的”,小白回应道。

值守的第一晚,小白和Nick一起值守。Nick虽然态度平静,但也不时露出倦意。

“小白,你觉得这种值守安排合理吗?”,Nick问道。

“合理不合理,不是我能决定的。”小白笑了笑,“不过,既然安排了,我就尽力做好吧。”

Nick没有做声,护网第一晚很平静,相安无事。

夜间值守的第二晚,小白和王工一起值守。王工坐在监控前,和小白一样,专心的处理一些日常的监控工作。

“王工,这种夜间值守的安排你觉得怎么样?”,小白小心翼翼地问道。

王工叹了口气,“其实,对我们这些老家伙来说,熬夜确实不容易。不过,安全工作需要人来做,年轻人多承担一些也是应该的。”

“我理解,”小白点点头,“不过,作为新手,我觉得这是一个很好的学习机会。”

“你这么想就对了”,王工笑了笑,“多学点东西,对你未来的发展有好处”。

值守的第三晚,小白和刘总一起值守。刘总明显不如王工那般专注,他不断走出演练大厅,似乎在期待时间快点过去。

“小白,你真能熬啊,年轻就是好”,刘总打了个哈欠说道。

“刘总,熬夜对我来说还好,主要是觉得能学到很多东西”,小白说道。

“是啊,年轻人有干劲是好事。不过你也要注意身体,别太拼了。”,刘总显得有些敷衍。

在这里插入图片描述

钓鱼邮件的发现

自从Nick交代小白每天盯紧邮件网关之后,作为学生的小白,十分的负责和兴奋。于是,他每天都特别留意那些被邮件网关判定为可疑或恶意的电子邮件。

由于小白白天在酒店休息,多数的工作时间是在晚上。每天晚上交班之后,小白都会第一时间打开电脑,进入邮件网关的监控界面,查看最新的可疑和恶意的邮件。他对需要二次判断的邮件的内容、发送者的IP地址、邮件头信息等都一一记录在案,并将这些信息汇总给Nick。

在这段时间里,小白连续向Nick报告了多次针对甲方的网络钓鱼活动,Nick对小白进行了鼓励。但他也告诉了小白,单靠邮件网关提供的信息还不够,要想形成有效的溯源报告,需要更多的情报和更深入的分析,当然有的时候是需要运气的。之前小白报告的诸多钓鱼邮件由于团队内部无法给出完整的攻击链,因此都被放弃继续分析。

尽管如此,小白并没有气馁。他每天依旧认真地盯着邮件网关,仔细观察每一封可疑邮件,试图发现有价值的内容。

演练活动进行到第三天,小白按照前几天的流程,把一封发送者伪装成甲方的合作伙伴,内容是要求接收者点击一个链接和附件,并填写身份信息的邮件的详细信息报告给了Nick,Nick照例组织团队进行分析。

深入溯源的过程

按照攻防演练规则的要求以及之前的经验,针对钓鱼邮件的攻击手段,需要能够给出邮件发送者相关信息的证据,收集邮件的目的是什么,才能被判定为有效的溯源报告。

“这个邮件服务器的IP地址是一台境外的云主机,最近被VT标记成为垃圾邮件。”

Brain是整个安服团队里面比较特别的一个,他之前有过红队的经历,今年开始从事蓝队的工作,因此在团队中他是最擅长从红队角度进行分析,因此团队中的反制工作往往是由他亲自操刀。因此溯源攻击者的工作,Nick便将工作交给了他。关于钓鱼连接和样本的分析工作,Nick则是将其交给了团队中一名擅长逆向工作的小志。

WEB邮箱,以及邮件服务器这些互联网的攻击面对于Brain来说,属于家常便饭。在Brain多年娴熟技巧的加持下,经过一个上午的努力,Brain成功在邮件服务器上找到了发送者的相关的操作记录。根据相关的日志记录,Brain能够确定的是实际的threat actor通过控制互联网一个邮箱服务器发送钓鱼邮件。但是是谁操控者这台服务器,短时间内无法对于邮件服务器进行全面的取证分析。Brain深知有些操作点到为止即可,因此他放弃了继续深入追踪的想法,转而整理分析思路进行归档。

另一边,小志也在对邮件的样本进行动态和静态的分析,沙箱报告显示,这些钓鱼链接均指向境外的非营利性网站。同时沙箱的样本报告也显示,样本在后台运行后,会启动定时任务,但是沙箱报告并没有显示网络连接的行为。为了进一步分析样本中其他的IOC,小志在小白等人惊讶的目光中炫耀了一把软件调式的艺术。代码显示该样本会在计算机重启之后收集本地的credential发向境外的不同地址。经过小志的一番骚操作之后,证明了URL和样本的目的是收集用户名和密码,并发送至控制的傀儡机。由于Nick深知对于傀儡机的取证也是吃力不讨好的,因此放弃了进一步的溯源,因此他们针对钓鱼邮件的溯源工作就此为止。

形成溯源报告

在基本搞清楚整个的来龙去脉之后,Nick便要求团队内唯一的女士小美按照Brain和小志的分析结果快速的出具溯源报告。小美是团队内非常重要的一名角色,主要负责溯源报告的输出以及团队的后勤工作。

在Nick的带领下,小美迅速整理了所有的溯源信息,形成了一份详细的溯源报告。报告不仅详细描述了攻击过程,还分析了攻击者的动机和可能的下一步行动。

“这份报告很全面。”Nick满意地点点头,“我们马上提交给裁判组。”

不久后,裁判组的反馈传来,他们对这份溯源报告给予了通过,认为这是一次有效的溯源。小白和他的团队成员们都非常兴奋,这是目前甲方第一份有效的溯源报告,为甲方取得开门红,也让他们对接下来的演练充满了信心。

“干得漂亮!”,Nick拍了拍小白的肩膀,“这次是一个好的开始,接下来我们要再接再厉,争取更多的输出。”

小白点点头,他深知这只是开始,接下来还有更多的挑战等着他们。但他对自己的团队充满信心,他相信只要大家齐心协力,一定能在这次演练中取得更多的成功。通过这次钓鱼溯源的成功,小白对演练工作蓝方的工作内容心中也有了底,小白对网络安全工作的理解也更加深入。他明白了溯源不仅仅是技术手段的运用,更是对细节的关注和对信息的综合分析。

在接下来的几天里,小白和他的团队继续保持高强度的工作,不断分析和处理各种可疑邮件和安全事件。他每天都在不断学习和进步,逐渐掌握了更多的技术和方法。

由于溯源的成功,Nick安排小美给大家每人点了一杯瑞幸咖啡,大家都非常的开心。

本故事中人物角色和故事情节纯属虚构,如有雷同,纯属巧合。

本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。

相关文章:

攻防演练之-成功的钓鱼邮件溯源

书接上文,《网络安全攻防演练风云》专栏之攻防演练之-网络安全产品大巡礼二,这里。 演练第一天并没有太大的波澜,白天的时间过得很快。夜色降临,攻防演练中心内的灯光依旧明亮。对于网络安全团队来说,夜晚和白天并没有…...

Gi标签管理

文章目录 前言理解标签创建标签操作标签总结 前言 理解标签 标签,可以理解为对某次commit的一次标识,相当于起起了一个别名。 例如,在项目发布某个版本时候,针对最后一次commit起一个v1.0这样的标签来标识里程碑的意义。 这有什…...

2024福建等保测评公司有哪些?分别叫做什么名字?

2024福建等保测评公司有哪些?分别叫做什么名字? 【回答】:2024年具有资质的福建等保测评公司有6家,其名称以及地址如下: 1、福建省网络与信息安全测评中心,福州市鼓楼区东街8号利达大厦A座8层&#xff1b…...

王先宏老师厉害了,活页笔记版古琴曲谱拆箱图

王先宏老师走心了,活页笔记版古琴曲谱拆箱图,简直是史上最好的古琴学习利器!送的防滑垫还带铝合金夹层的,养弦膏都是市面上没有的的。 这些古琴谱上的笔记就是老师课堂上用的,直接拿来就可以跟着弹,不用您…...

TalkingData 是一家专注于提供数据统计和分析解决方案的独立第三方数据智能服务平台

TalkingData 是一家专注于提供数据统计和分析解决方案的独立第三方数据智能服务平台。通过搜索结果,我们可以了解到 TalkingData 的一些关键特性和市场情况,并将其与同类型产品进行比较。 TalkingData 产品特性 数据统计与分析:提供专业的数…...

Springboot的小型超市商品展销系统-计算机毕业设计源码01635

摘 要 科技进步的飞速发展引起人们日常生活的巨大变化,电子信息技术的飞速发展使得电子信息技术的各个领域的应用水平得到普及和应用。信息时代的到来已成为不可阻挡的时尚潮流,人类发展的历史正进入一个新时代。在现实运用中,应用软件的工作…...

UV胶开裂主要因素有哪些?如何避免?

UV胶开裂主要因素有哪些?如何避免? UV胶开裂的原因可能包括多个方面: 固化不足:UV胶的固化需要足够的紫外线照射。如果照射时间不够,或者紫外线光源的强度不足,胶水可能没有完全固化,从而导致开…...

LogicFlow 学习笔记——3. LogicFlow 基础 节点 Node

节点 Node LogicFlow 内置了一些基础节点,开发者在实际应用场景中,可以基于这些基础节点,定义符合自己业务逻辑的节点。 认识基础节点 LogicFlow是基于svg做的流程图编辑框架,所以我们的节点和连线都是svg基本形状,…...

VMware清理拖拽缓存

磁盘空间越用越小,如何快速解决磁盘空间的问题,甩掉烦恼 安装VM tools之后可以通过拖拽的方式把文件拉入虚拟机之中。但每一次拖拽,其实都是现在cache文件夹里面生成一个同样的文件,并使用cp拷贝的方式将其拷贝到拖拽放置的目录中…...

跨语言系统中的功能通信:Rust、Java、Go和C++的最佳实践

在现代软件开发中,使用多种编程语言构建复杂系统已成为一种常见的做法。每种编程语言都有其独特的优势和适用场景,这使得在同一个系统中使用多种语言变得合理且高效。然而,这也带来了一个重要的挑战:如何在这些不同语言之间实现高…...

4. Revit API UI 之 Ribbon(界面)

4. Revit API UI 之 Ribbon(界面) 第二篇中,我们提到了IExternalApplication,该接口需要实现两个方法:Revit启动时调用的OnStartup 方法,和Revit关闭时调研的OnShutdown 方法。文中还给了个例子&#xff0…...

js数组方法

改变原始数组返回一个新数组添加元素push,unshiftconcat,[…arr] 展开语法删除元素pop,shift,splicefilter,slice替换元素splice,arr[i] … 赋值map排序reverse,sort先将数组复制一份...

PyTorch -- 最常见损失函数 LOSS 的选择

损失函数:度量模型的预测结果与真实值之间的差异;通过最小化 loss -> 最大化模型表现代码实现框架:设有 模型预测值 f (x), 真实值 y 方法一: 步骤 1. criterion torch.nn.某个Loss();步骤 2. loss criterion(f(x…...

Prometheus 监控系统

一、Prometheus概述 是一个开源的服务监控系统和时序数据库,其提供了通用的数据模型和快捷数据采集、存储和査询接口。它的核心组件. 1.1 Prometheus server 会定期从静态配置的监控目标或者基于服务发现自动配置的目标中进行拉取数据,新拉取到的数据会…...

Spring Boot中使用logback出现LOG_PATH_IS_UNDEFINED文件夹

1.首先查看&#xff0c;application.properties 文件是否按格式编写 logging.pathmylogs logging.configclasspath:logback-spring.xml2.查看 logback-spring.xml <springProperty scope"context" name"LOG_HOME" source"logging.path"/> …...

代码随想录——组合总数Ⅲ(Leetcode216)

题目链接 回溯 class Solution {List<List<Integer>> res new ArrayList<List<Integer>>();List<Integer> list new ArrayList<Integer>();public List<List<Integer>> combinationSum3(int k, int n) {backtracking(k, …...

Android native层的线程分析(C++),以及堆栈打印调试

文章目录 Android native层的线程分析(C)&#xff0c;多线程实现1.native线程的创建第一部分&#xff1a;android_thread模块第二部分&#xff1a;linux_thread模块 2.测试linux_thread模块3.Android native的Thread类3.1源码分析 4.native层堆栈调试方法 Android native层的线…...

计算机科学:2024年高考生的明智之选?兴趣与趋势并重的决策指南

站在2024年这个时间节点上&#xff0c;计算机相关专业依然保持着其“万金油”地位&#xff0c;尽管面临一定的挑战&#xff0c;但其长期发展前景和就业潜力仍然乐观。以下是从不同身份角度出发的观点分析&#xff1a; 高考生视角&#xff1a; 如果你是今年的高考生&#xff0…...

跨界合作机会:通过淘宝数据挖掘潜在的合作伙伴与市场拓展方向

淘宝平台汇聚了众多商家和消费者&#xff0c;生成了大量的交易数据&#xff0c;这些数据为商家提供了挖掘跨界合作机会和市场拓展方向的丰富线索。以下是如何利用淘宝数据来寻找潜在的合作伙伴和探索新的市场机会的一些策略&#xff1a; 消费者行为分析&#xff1a;通过跟踪消费…...

如何利用智能家居打造一个“会呼吸的家”?一体化电动窗帘

如何利用智能家居打造一个“会呼吸的家”&#xff1f;一体化电动窗帘 史新华 隐藏式一体化智能电动窗帘与市面上其他窗帘不同的是&#xff0c;电机内置于轨道之中&#xff0c;一体化&#xff0c;美观、安静、滑动顺畅。 每次都会自动打开和关闭&#xff0c;相当漂亮。 众多家庭…...

PyTorch -- 最常见激活函数的选择

首先&#xff0c;简单复习下什么是梯度&#xff1a;梯度是偏微分的集合 举例说明&#xff1a;对于 z y 2 − x 2 : ∇ z ( ∂ z ∂ x , ∂ z ∂ y ) &#xff08; 2 x , 2 y &#xff09; z y^2-x^2: \nabla z (\frac{\partial z}{\partial x}, \frac{\partial z}{\partia…...

人工智能--制造业和农业

欢迎来到 Papicatch的博客 文章目录 &#x1f349;人工智能在制造业中的应用 &#x1f348; 应用场景及便利 &#x1f34d;生产线自动化 &#x1f34d;质量控制 &#x1f34d;预测性维护 &#x1f34d;供应链优化 &#x1f348; 技术实现及核心 &#x1f34d;机器学习和…...

go语言,拼接字符串有哪些方式

目录 第一种方式&#xff1a; 使用加号"" 第二种方式&#xff1a; 使用fmt.Sprintf 第三种方式&#xff1a; 使用strings.Join 第四种方式&#xff1a; 使用strings.Builder 第五种方式&#xff1a; 使用bytes.Buffer go语言&#xff0c;拼接字符串的方式有…...

C++类型转换深度解析:从基础数据类型到字符串,再到基础数据类型的完美转换指南

前言 在 C 编程中&#xff0c;我们经常需要在基础数据类型&#xff08;如 int、double、float、long、unsigned int 等&#xff09;与 string 类型之间进行转换。这种转换对于处理用户输入、格式化输出、数据存储等场景至关重要。 本文将详细介绍如何在 C 中实现这些转换。 文…...

一文了解:渐进式web应用(PWA),原生应用还香吗?

前端开发是一个充满活力和不断演进的领域&#xff0c;各类技术层出不穷&#xff0c;PWA模式的出现就是想让web移动应用获得原生一样的体验&#xff0c;同时有大幅度降低开发成本&#xff0c;那么它到底能行吗&#xff1f;贝格前端工场带领大家了解一下。 一、什么是渐进式web应…...

SOLIDWORKS学生支持 可访问各种产品资源

你是不是一个热爱设计、追求创新的学生&#xff1f;你是不是在寻找一款能够帮助你实现设计梦想的工具&#xff1f;那么&#xff0c;SolidWorks学生支持是你的首要选择&#xff01; SOLIDWORKS作为三维CAD设计软件&#xff0c;一直致力于为广大学生提供全方面的支持。无论你是初…...

VCS基本仿真

这里记录三种仿真方式&#xff1a; 第一种是将verilog文件一个一个敲在终端上进行仿真&#xff1b; 第二种是将多个verilog文件的文件路径整理在一个文件中&#xff0c;然后进行仿真&#xff1b; 第三种是利用makefile文件进行仿真&#xff1b; 以8位加法器为例&#xff1a; …...

Hbase中Rowkey的设计方法

Hbase中Rowkey的设计方法 过去对于Rowkey设计方法缺乏理解&#xff0c;最近结合多篇博主的文章&#xff0c;进行了学习。有不少心得体会。总结下来供后续学习和回顾。 一、设计Rowkey的三个原则 1.长度原则&#xff1a;长度不能太长&#xff0c;小于100个字节。可以偏端一些…...

Python基础总结之functools.wraps介绍与应用

Python基础总结之functools.wraps介绍与应用 在Python编程中&#xff0c;装饰器&#xff08;decorator&#xff09;是一种非常强大的工具&#xff0c;它允许开发者在不改变函数本身的情况下&#xff0c;动态地增加函数的功能。使用装饰器时&#xff0c;常常会用到 functools.wr…...

UE5基础1-下载安装

目录 一.下载 二.安装 三.安装引擎 四.其他 简介: UE5&#xff08;Unreal Engine 5&#xff09;是一款功能极其强大的游戏引擎。 它具有以下显著特点&#xff1a; 先进的图形技术&#xff1a;能够呈现出令人惊叹的逼真视觉效果&#xff0c;包括高逼真的光影、材…...

网站建设就业前景/品牌策划是做什么的

前几天写了一个2048程序&#xff0c;是基于python3pygame实现的&#xff0c;对于初学python的同学来说应该是很好的练手项目&#xff0c;现在将源码分享给大家&#xff0c;添加了清晰的注释&#xff0c;相信大家能看的很明白运行效果如下&#xff1a;游戏结束后的效果如下&…...

新乡企业建网站/网络推广的工作内容

c语言常用知识点&#xff1a; 知识点1:交换两个变量值的方法 采用第三方变量(最容易想到的方法)采用加减法进行值得交换&#xff08;面试时常用**&#xff09; 代码如下&#xff1a; b a - b; a a - b; b a b;采用按位异或的位方式 代码如下&#xff1a; a a^b; b …...

mac能用vs做网站吗/seo是一种利用搜索引擎

Glimpse是一款.NET下的性能测试工具&#xff0c;支持asp.net 、asp.net mvc 优势在于&#xff0c;不需要修改原项目任何代码&#xff0c;且能输出代码执行各个环节的执行时间 安装方式非常简单&#xff0c;通过nuget直接安装即可 官方网址 getglimpse.com 转载于:https://www.c…...

pascal建设网站/市场营销八大营销模式

虽然我也不知道如何绘制背景框,但我们可能正在寻找同样的东西,即隐藏自定义标签下面的任何其他文本,以便它弹出并且更清晰.如果是这样,我确实发现你可以添加一个“光环”,它将达到预期的效果."layout": {"icon-image": symbol "-15","icon…...

阿里云一键安装web wordpress/百度网站大全首页

1 简介 Cloud SQL 是GCP上的关系型数据库&#xff0c;常用的有三种方式来创建&#xff1a; (1) 界面操作 (2) 命令行 gcloud (3) Terraform 在开始之前&#xff0c;可以查看&#xff1a;《初始化一个GCP项目并用gcloud访问操作》。 2 GCP 操作界面 登陆GCP&#xff0c;选…...

很多搜索词网站怎样做/58百度搜索引擎

CentOS配置静态IP的方法&#xff1a; 服务器一般都是有自己的静态IP&#xff0c;使自己能很好的连入局域网。 1、编辑网卡文件&#xff0c;修改网卡配置 vim /etc/sysconfig/network-scripts/ifcfg-eth0 将ifcfg-eth0的内容改为下面的&#xff1a; DEVICEeth0 #描述网卡对应…...