- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
基于Tor网络的钓鱼邮件分析
这个钓鱼邮件很有意思,作者对文档进行加密,可以有效的防止各个邮件服务器的拦截,并且会给受害者营造一个神秘的氛围,让人忍不住就想打开瞧一瞧。我们输入文档密码,word提示我们是否启用宏。 ? 这次钓鱼邮件的分析也将是一场有趣的旅程。 二、攻击流程 我们在执行完word文档后,发现系统出现了一些可疑的网络行为,所以在进行详细分析之前,我们先总体上对钓鱼邮件的攻击流程进行跟踪,从宏观上掌握此次事件的整体流程,随后再对具体的步骤进行详细的分析 大体的分析出了以下的攻击步骤: 受害者接收钓鱼邮件,打开邮件附件的word文档,并执行宏脚本。 宏脚本下载执行一个名为background的恶意文件,并弹出系统不兼容的提示框。 攻击者通过伪造法院的传票,发送钓鱼邮件来传播勒索病毒。邮件通常是发给目标的企业员工,攻击其文件加密,从而进行勒索。虽说勒索病毒需要连接到tor网络,国内的小伙伴并不需要过分担心。
2.3K01发布于 2018-07-30 钓鱼邮件攻击
钓鱼邮件攻击【实验目的】通过Measploit生成msi命名为java的JDK,上传至DMZ区门户网站1的服务器,并诱使用域用户放下戒备,下载安装可信任文件,了解并掌握钓鱼邮件的原理。 【知识点】钓鱼邮件【实验原理】钓鱼邮件指利用伪装的电邮,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真 3.利用xiaowang用户编写钓鱼邮件发送给xiaozhang用户。4.模拟域用户xiaozhang下载安装执行木马。5.开启Meaploit监听返回shell。 展开代码语言:TXTAI代码解释ew.exe-slcx_tran-l9999-f10.0.18.54-g99994.利用xiaowang用户编写钓鱼邮件发送给xiaozhang用户回到内网主机xiaowang 【实验结论】通过上述操作,Measploit生成msi命名为java的JDK,上传至DMZ区门户网站1的服务器,并诱使用域用户放下戒备,下载安装可信任文件,了解并掌握钓鱼邮件的原理,符号实验预期。
27232编辑于 2025-11-30- 来自专栏FreeBuf
钓鱼邮件中的Remcos RAT变种分析
7月份,我们发现了一个伪装成新订单通知的钓鱼邮件,里面带有一个恶意附件,会导致Remcos RAT(被Trend Micro检测为BKDR_SOCMER.SM)这一恶意软件的执行。 最近,Remcos又开始使用钓鱼邮件进行大肆传播了。 钓鱼邮件背后的恶意攻击者使用rud-division@alkuhaimi[.]com(合法域名)这个邮箱和“RE: NEW ORDER 573923”的主题。 图3 字符串解码样例 在一些情况种,该恶意软件在解密后会使用AutoIt的BinaryToString()函数对下一层混淆进行去混淆。下面的代码片段展示了这一行为: ? 我们也建议以下额外的防护措施: 1、了解如何鉴别钓鱼邮件,掌握恶意邮件的特征(如错别字,生僻字等) 2、经常更新应用和系统 3、使用白名单,屏蔽用不到的端口,禁用用不到的组件 4、监控系统中流量以发现异常行为
1.8K20发布于 2019-09-11 - 来自专栏Khan安全团队
混淆重定向SVG钓鱼邮件技术分析
但实际上,该子域和主域都由攻击者控制,属于同一钓鱼基础架构,应被视作威胁指标加以拦截。 3. 作者分析得到嵌套解码函数是HTML/SVG钓鱼常用的顶级技巧 。通过多层编码,静态分析工具必须模拟执行才能得到真实payload,提高了分析难度。 CDATA块与注释 攻击者将脚本包裹在<! 最终钓鱼页面行为分析 一旦用户通过前面的重重验证抵达最终的落地页面,攻击者便会呈现精心伪装的钓鱼界面以套取敏感信息。 大多数企业并无业务需要通过邮件发送SVG,可考虑在邮件服务器直接阻止.svg文件传递。如果必须允许SVG,启用沙盒分析:让安全沙盒打开附件并观察是否存在自动网络连接和跳转行为,以检测钓鱼。 鼓励员工对可疑邮件使用企业提供的举报机制,让安全团队介入分析。
1.4K00编辑于 2025-04-19 - 来自专栏HACK学习
钓鱼攻击:Gophish邮件钓鱼平台搭建
(3)现在,我们就可以启动gophish了: chmod 777 gophish nohup . 点击“New Template”新建钓鱼邮件模板,依次介绍填写各个字段: Name:这个字段是对当前新建的钓鱼邮件模板进行命名,可以简单的命名为 “邮件模板一”。 如下图,我们创建了一个带有office宏病毒的word附件的邮件模板: Landing Pages(伪造钓鱼页面) 完成钓鱼邮件的编写后,下一步则需要在Landing Pages中设计由邮件中超链接指向的钓鱼网页 在Campaigns中,可以新建钓鱼事件,并选择编辑好的钓鱼邮件模板,钓鱼页面,通过配置好的发件邮箱,将钓鱼邮件发送给目标用户组内的所有用户。 Email Template:Email Template 即钓鱼邮件模板,这里选择刚刚上面编辑好的钓鱼邮件模板”邮件模板一“。
21.5K32发布于 2021-03-03 - 来自专栏Khan安全团队
朔源钓鱼邮件
精心构造的钓鱼邮件对企业安全构成巨大威胁,普通个人用户基本很难识别。 真实案例分析 为了更好地应对和防范钓鱼邮件攻击,我们来看一个真实案例。 本文将介绍如何通过发件人地址和邮件内容识别钓鱼邮件,并提供具体的案例分析和防范措施。 1. 通过发件人地址识别钓鱼邮件 钓鱼邮件常通过伪造发件人名称来迷惑收件人,使其误以为邮件来自可信的来源。 图6 域名及邮件关键字查询 2.钓鱼邮件溯源分析 2.1威胁情报分析 (1)通过360威胁情报对其进行查询 如图7所示,显示为“钓鱼、欺诈地址、黑灰产”情报标签。 图12 获取并登录后台地址 3.后台获取所有钓鱼信息 如图13所示,在后台获取诈骗分子钓鱼获取的所有信息,包含姓名、手机、邮箱及密码等信息。 图16登录邮箱验证 3.钓鱼邮件攻击防范 3.1增强员工安全意识 企业可以通过定期开展安全培训或者发送警示邮件等方式提高员工的安全意识,使他们更加警觉,并且知道如何识别钓鱼邮件。
70610编辑于 2024-06-19 - 来自专栏中二病也要当白帽子
群邮件钓鱼软件的简单分析并拿到后台
截图 不知道从何时起,qq群邮件就成为了钓鱼软件传播的一个绝佳场所,什么“”萌妹变声器”,“破解UU加速器”。 我偶尔闲的无聊的时候,就会下载下来耗费几分钟逆(ti)向(chuan)一下.发现钓鱼软件总是要把自己服务器的账号密码写到软件里面。 现在我们来一起捋一捋这个事情。 首先,这些钓鱼软件会通过控件覆盖的方式盗取Steam账号密码,并且为了过Steam的安全验证需要将ssfn开头的授权文件上传到病毒作者服务器。 下图,画圈的部分,就是批量发送群邮件相关的字符串。 字符串提取 其中,http://www.laohe788.com/zhuti.txt为邮件标题。 http://www.laohe788.com/zhengwen.txt为邮件内容 这么多钓鱼软件,我简单分析了一下,稍微见证了下作者的成长。
2.1K30发布于 2019-10-19 - 来自专栏OneMoreThink的专栏
应急靶场(8):【玄机】常见攻击事件分析--钓鱼邮件
靶场地址:https://xj.edisec.net/challenges/52 靶场背景:小张的公司最近遭到了钓鱼邮件攻击,多名员工的终端被控制做为跳板攻击了内网系统。 请根据小张备份的数据样本,对钓鱼邮件和内网被攻陷的系统进行溯源分析。 一、请分析获取黑客发送钓鱼邮件时使用的IP 在钓鱼邮件的eml文件中搜索from,最后一个from就是黑客发送钓鱼邮件时使用的IP地址:121.204.224.15。 flag{121.204.224.15} 二、请分析获取黑客钓鱼邮件中使用的木马程序的控制端IP 通过Content-Transfer-Encoding: base64得知邮件正文使用的是base64编码 将邮件附件保存到txt文件中,使用命令cat 钓鱼附件.txt | base64 -d | less解码并查看,从文件开头的PK得知邮件附件是zip压缩包,因为PK是发明zip压缩格式的作者姓名缩写。
89720编辑于 2024-10-15 - 来自专栏FreeBuf
快速构建邮件钓鱼实践
对邮件安全意识方面的宣导,可以通过模拟与员工日常活动相关的攻击,开展邮件钓鱼测试,检测员工对钓鱼邮件的敏感程度,前期以安全专题期刊或安全培训方式进行安全意识宣贯,再通过搭建邮件安全测试系统,对员工进行了邮件钓鱼测试 快速实现邮件钓鱼测试的原则是“实现快速、无成本投入、以警示代替测试”。 快速搭建平台 推荐使用Gophish开源项目搭建测试平台,伪造钓鱼页面、发送钓鱼邮件、统计测试效果。 3、在Gophish中选择“Sending Profiles”添加邮件发件设置 ? 配置163邮箱信息,其中Password部分为授权登录密码而非邮箱密码(其他邮箱类似)。 点击“Send Test Email”测试发送邮件成功即可。 ? 二)配置钓鱼邮件模板 在Gophish中选择“Email Templates”添加邮件正文模板。 ? 选择邮件模板、伪造钓鱼页面,URL是监听的主机IP,选择要钓鱼的对象邮箱,选择时间立即开始。 受攻击对象在邮箱内收到钓鱼邮件后,打开邮件、点击链接、提交登录数据等都会被记录。 ?
2K31发布于 2021-07-02 - 来自专栏betasec
关于钓鱼邮件那些事
•在信息传输、计算机服务和软件业的钓鱼基准测试,其中中招率为 43.61%。 •近几年,各国 APT 组织的攻击活动主要围绕定制化的钓鱼邮件,通过邮件中各类恶意附件文件达成攻击目的。 一、攻防演练中的钓鱼邮件 1.1 什么是钓鱼邮件? 钓鱼邮件是是一种网络欺诈邮件,利用伪装的电子邮件诱骗收件人访问特制网站或点击打开指定的文件,用于获取收件人的账号、密码等敏感信息或获取终端设备权限的社会工程学攻击方式。 对于鱼叉式钓鱼攻来说击,防病毒和反垃圾邮件等传统安全防御措施,以及电子邮件防护网关根本无法检测并阻止该攻击。从网络罪犯的角度看,鱼叉式网络钓鱼是各种破坏性攻击的中最为理想的攻击方式。 2.2 鱼叉式钓鱼攻击利用方式 鱼叉式钓鱼(Spear phishing)攻击常见可利用的四个位置:邮件地址的仿冒、邮件内容的诱骗、隐藏链接的恶意跳转、邮件附件的木马免杀; 2.3 发起一次钓鱼攻击常见流程
1.2K50编辑于 2022-12-11 - 来自专栏FreeBuf
一次持续的邮件钓鱼攻击的简单溯源分析,看看是谁在钓鱼?
网站的结构大概如下: 很明显,这就是赤裸裸的邮件钓鱼攻击,用于收集被攻击对象的邮箱账户和密码。 通过分析邮件头属性,发现攻击者没有对邮件头进行信息伪造,邮件实际发送者就是outlook邮箱中显示的发送者,分别是<market@jinglun.com.cn>和<wangren@micropoint.com.cn 二、小结 该钓鱼攻击正在持续实施中,攻击者还在不停的发送钓鱼邮件,并且其用于钓鱼的网站域名也不停变化,截至7月7日,发现的IP有3个(香港),绑定的域名信息如下: 1、IP1:156.234.27.226 com 2022-05-30-----2022-06-11 xiangwangshenghuo.cn 2022-05-31-----2022-05-31 www.xiangwangshenghuo.cn 3、 IP3:103.223.122.172 域名绑定历史: 2022-04-26-----2022-06-09 mail.uepojlsd.cn 2022-05-07-----2022-06-09 dashenowqq.cn
98110编辑于 2023-03-30 - 来自专栏学习之旅
【安全】记录钓鱼邮件中木马病毒的分析溯源
转载请注明出处:小锋学长生活大爆炸[xfxuezhagn.cn] 如果本文帮助到了你,欢迎[点赞、收藏、关注]哦~ 1、收到一封邮件,与以往钓鱼网站形式不同,这次是给了一个exe可执行文件。 3、先用扫毒工具简单扫一下。 VirScan - 多引擎文件在线检测平台可以发现,确实有一堆的病毒特征。 4、使用云沙箱工具详细分析一下它的行为。 个人比较喜欢用这个工具,免费无广告且非常详细:https://s.threatbook.com/可以看到这个钓鱼软件执行的一系列操作。 详细报告大家可以访问:木马病毒的分析报告其中,比较有意思的是这两个:他在C:\Users\Administrator\AppData\Local\Temp\RarSFX0目录下创建了可执行文件,通常就是用于入侵用的 3. **进程和线程的初始化与清理**:在dll的加载和卸载过程中,对进程和线程进行初始化和清理,确保资源的正确管理。
77610编辑于 2025-04-09 - 来自专栏FreeBuf
从钓鱼邮件到窃密木马
0x00 前言 在做样本分析的时候,通常都是针对恶意软件进行分析。这种属于样本分析,是安全分析中的一部分,但也是比较关键的一部分。样本分析是安全分析人员与恶意软件开发/投放人员沟通最直接的桥梁。 我们拿到的恶意软件,可能是鱼叉类钓鱼邮件攻击精准投放,也有可能是水坑类攻击下发。 作为分析人员,除了分析看到的这个恶意样本,也应该关注整个攻击事件和攻击背景的分析。 财务总监 这就是一个非常普通的钓鱼邮件,目标没有针对性,应该是批量下发的。 最下面的pdf是一个下载链接,下载地址如下。 从钓鱼邮件来看,钓鱼的手法并不高级,就是靠大众心理,散发这种可能会有人感兴趣的邮件。 0x03 第一阶段payload 原始样本是带了一定混淆的,但这里的混淆很好解,就直接de4dot去混淆即可 ? aj()函数的调用逻辑是这样的 通过Abs(-3) 给switch case的初始值设置为3,执行case 3分支 将num赋值为2,跳转到IL_02重新执行switch ,执行case 0分支。
65320发布于 2020-09-24 - 来自专栏边城码农
深入调查揭秘钓鱼邮件
说到钓鱼联想到的一定饵和钩,首先分析饵是什么,通过上述邮件大致分析其主要内容,为了邮件系统的安全因此要进行迁移,并且需要点击超链进行设置跳转。 的前缀是192.168.5.10,看似内网地址,但地址后还有.d11h9e.cyou信息,是将192.168.5.10. .d11h9e.cyou作为域名信息、不熟悉URL的小伙伴可能会认为是内网地址,进行邮件的登陆 钓鱼邮件挖掘与反控安全研究人员针对情报进行分析,通过技术反制了一台黑产主机,并对主机进行的监控。接着从主机数据层面进行分析,深入挖掘整个黑产链的运作模式和邮箱钓鱼信息的最大化利用。 从被控者主机使用者的使用习惯和主机所存的数据,发现主机的使用人员不具备前端编程和Web搭建能力,猜测主机的使用人员并非钓鱼邮件发起者。
46360编辑于 2022-10-25 - 来自专栏安恒信息
AiLPHA邮件安全审计:钓鱼邮件攻击防范成本比较
(人工)钓鱼邮件攻击防护 2018年6月5日,CNCERT(国家互联网应急中心)发布了钓鱼邮件攻击防范指南,文中对如何防范钓鱼邮件攻击进行了全面的安全教育,本文作者通过思维导图整理如下: ? (智能)钓鱼邮件攻击防护 AiLPHA邮件安全审计产品在进行钓鱼邮件检测的时候,能对进出的每一封邮件,比人工确认更严肃、更认真、更高效的进行安全的处理,对于可疑的钓鱼邮件能及时通过多途径通知邮件的收件人和邮件管理员 并且一次投入使用3~5年,以极低的成本挽回更高的效益。为组织(企业单位)带来了极大的成本节约,提高安全系数,让你需要专注自己的业务,邮件安全有我守护。 邮件安全审计除了钓鱼邮件攻击检测外,还支持其他约20种安全场景分析。 ? 接下来,AiLPHA大数据会联合安全保险部门,推出邮件安全保险,全方位保障用户安全,让您高枕无忧! AiLPHA大数据智能安全平台 安恒信息AILPHA大数据智能安全平台,采用大数据分析技术架构,结合专业的安全经验,依托雄厚的研发实力,兼顾未来业务的发展,以“数据驱动安全分析,形成安全闭环,解决安全事件遗漏
1.2K20发布于 2018-07-24 - 来自专栏公共互联网反网络钓鱼(APCN)
基于邮件安全机制阻断NPM生态钓鱼攻击的实证分析
本文基于Group-IB对该事件的模拟回溯分析,系统性地剖析攻击链路中邮件投递环节的关键漏洞,并论证先进邮件防御体系在阻断此类攻击中的有效性。 关键问题在于:攻击入口——即钓鱼邮件——未能被及时阻断。而现有研究多聚焦于包内容扫描、依赖图分析或运行时行为监控,对邮件投递阶段的防御机制探讨不足。本文旨在填补这一空白。 3 传统邮件验证机制的失效分析尽管攻击邮件看似粗糙,但其巧妙规避了主流邮件安全基础设施的核心防线。 4 先进邮件防御体系的有效性验证Group-IB的Business Email Protection(BEP)系统通过多维关联分析,在模拟环境中成功拦截该钓鱼邮件。 4.4 社会工程语义分析NLP模型识别邮件中“must update within 24 hours”、“account suspension”等高压力词汇组合,匹配已知钓鱼话术库,提升风险评分。
36410编辑于 2025-12-17 - 来自专栏FreeBuf
关于钓鱼邮件的学习笔记
攻击 事前准备 钓鱼邮件的攻击方式通常有两种: 1. 构造钓鱼页面引诱受害者点击,获取目标账号密码,或者利用浏览器漏洞直接获取权限 2. 千里目实验室的一个老哥在Github上也开源了一个邮件伪造工具,亲测也很好用:https://github.com/Macr0phag3/email_hack 邮件伪造 先介绍一下SMTP,SMTP邮件服务器在进行邮件中转的时候不需要认证 传输数据 3. 超链接检测 在钓鱼邮件检测中常用,提取邮件中所有超链接,然后依次判断链接是否已经在恶意链接的规则库中。对于文本显示的链接和超链接的实际链接不同的情况,也会提示为钓鱼邮件。 在这次实战中,对目标域名进行了SPF查询,发现了3个IP。 ?
3.3K10发布于 2020-03-24 - 来自专栏Python和安全那些事
APT分析报告:02.钓鱼邮件网址混淆URL逃避检测
前文分享了Linux系统下针对性的APT攻击及技术要点,这篇文章将介绍钓鱼邮件网址混淆URL逃避检测,钓鱼是APT攻击中常用的手段,它究竟怎么实现混淆呢? 三.垃圾邮件分析 垃圾邮件是为每个垃圾邮件广播精心制作的,其中电子邮件主题突出了电子邮件的正文内容,并且大多具有令人信服的与药品相关的消息。下面是一些垃圾邮件的截图。 四.钓鱼网络分析 单击这些链接中的任何一个都会打开受害者的浏览器。该浏览器将十六进制IP转换为十进制IP,并将受害者带到该假冒制药网站的网页上。这个网站配备了一个电子商务门户来销售这些JIA药。 APT组织中广泛使用钓鱼邮件,比如海莲花、摩诃草、蓝宝菇等,下一步作者会总结常见的钓鱼方法。 http://0[x]455e8c6a/0s1dbd6d7s18s2fas56fs49e3s92c3s4s1dcbc02 前文分享: [译] APT分析报告:01.Linux系统下针对性的APT攻击概述
90110编辑于 2021-12-03 - 来自专栏小锋学长生活大爆炸
【吃瓜】暴力反击钓鱼邮件,分析网站并提交垃圾数据
转载请注明出处:小锋学长生活大爆炸[xfxuezhagn.cn] 如果本文帮助到了你,欢迎[点赞、收藏、关注]哦~ 背景介绍 我实在是受不了了,这些垃圾钓鱼邮件天天发天天发。 分析网站 一般这种钓鱼网站做的很垃圾,很好分析。这个网站好一点点,还做了一个验证码,不过也是弟弟。 分析发现,验证码和登录的绑定,是通过cookie进行绑定。所以只需要用同一个cookie请求到验证码图片,再ocr识别,就可以用到登录上了。 这里的返回参数,1表示提交成功,2是什么忘了,3是已经提交。 脚本编写 那就模拟提交数据吧。不过瘾?来点多线程。
37910编辑于 2025-05-24 - 来自专栏公共互联网反网络钓鱼(APCN)
电子邮件网络钓鱼细节解析之账户验证钓鱼
一、钓鱼邮件内容图片二、钓鱼网站页面图片三、钓鱼网页代码图片图片图片图片图片图片四、代码结构与核心功能分析1. 动态资源注入:根据policy.php返回的数据,修改页面图标(favicon)和iframe内容,使钓鱼页面更逼真。3. 钓鱼邮件的典型特征邮件内容主题可能为“账户安全警告”“系统升级通知”等,诱导用户点击链接。链接包含mxid参数(如https://phishing-site.com? 警惕预填表单:不信任自动填充用户名的页面,尤其是通过邮件链接访问的。2. 检查URL域名:确认登录页的域名是否与企业官方域名一致。3. 启用多因素认证(MFA):即使密码泄露,攻击者也无法直接登录。 3. 邮箱安全策略:部署DMARC、SPF、DKIM协议,防止钓鱼邮件伪造发件人。企业层面1. 员工培训:定期模拟钓鱼攻击,提升员工识别能力。2.
23610编辑于 2025-11-15
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号