永州|防守日记|一封钓鱼邮件,竟意外揪出境外著名黑产组织( 三 )
总结从最开始的“攻击队”的误判 , 到最后将黑产组织“捉拿归案” , 我们不断地进行“大胆猜测、小心求证” 。 回溯本次防守上分过程如下:
- PRS-NTA收到告警 , 根据告警信息搜索对应IP的历史攻击记录
- 判断该IP大概率为红队成员“肉鸡” , 解析IP相关的域名 , 对该IP做持续重点监控
- 收到该IP的曾用域名发来带有附件文件的邮件 , 告知所有公司人员不要点击该附件内容的同时将文件放入大圣云沙箱检测分析
- 域名解析后显示域名注册自海外 , 猜测本次攻击者并非红队 , 而是来自海外APT团队
- 查询历史告警日志 , 发现去年收到一封来自同一域名的钓鱼邮件
- 对去年的邮件附件文件进行分析 , 提取出shellcode文件
- 从样本代码的行为及结构特征判断出与海外某黑产组织的关联性 , 溯源成功
推荐阅读
- 地产业|业余篮球队对NBA顶级职业球员,可以说很难有有效防守
- K仔日记|伸舌头舔嘴唇太犯规!| 嘴唇
- |自动化工程师日记278
- 魔兽世界|老风尘的“玩儿”日记(九十五)一《魔兽世界》恶魔猎手
- 翡翠|翡翠日记:从石头蜕变成“美人鱼”(下)
- 失眠|老风尘的“玩儿”日记(八十五)一《魔兽世界》战神的崛起
- |你的精力可以放在进攻上,但是,防守也不应该拖后腿
- 克里斯·保罗|美媒列出了一套没拿到DPOY防守却很好的豪华五人组,这阵容有多强
- 完美日记|《饮食代谢力》——日式吃好减肥新理念
- 完美日记|600斤胖猴仔吃4个酱猪肘子,坐着睡着醒来就吃,网友:拿命造啊