江苏龙网

  1. 首页 > 生活 > >

永州|防守日记|一封钓鱼邮件,竟意外揪出境外著名黑产组织( 三 )


总结从最开始的“攻击队”的误判 , 到最后将黑产组织“捉拿归案” , 我们不断地进行“大胆猜测、小心求证” 。 回溯本次防守上分过程如下:

  1. PRS-NTA收到告警 , 根据告警信息搜索对应IP的历史攻击记录
  2. 判断该IP大概率为红队成员“肉鸡” , 解析IP相关的域名 , 对该IP做持续重点监控
  3. 收到该IP的曾用域名发来带有附件文件的邮件 , 告知所有公司人员不要点击该附件内容的同时将文件放入大圣云沙箱检测分析
  4. 域名解析后显示域名注册自海外 , 猜测本次攻击者并非红队 , 而是来自海外APT团队
  5. 查询历史告警日志 , 发现去年收到一封来自同一域名的钓鱼邮件
  6. 对去年的邮件附件文件进行分析 , 提取出shellcode文件
  7. 从样本代码的行为及结构特征判断出与海外某黑产组织的关联性 , 溯源成功


推荐阅读


上一篇:四川省|深夜垂钓遇浮尸,男子逃到货轮航道上溺亡,家属状告货轮索赔92万

下一篇:泸州|保护鱼类成了可垂钓对象鱼!泸州垂钓意见被钓友吐槽“太不专业”