回归最本质的信息安全

记一次对钓鱼邮件的实地反击

2017年6月27日发布

35,859
3
34

导语:公司近期收到钓鱼邮件,信息安全团队使用三十六计其中的“假痴不癫、瞒天过海、反客为主”,对骗子进行了一次漂亮的自卫反击战。

0x00背景

6月15日,呼叫中心的同事来询问关于一封邮件的事情,IT和信息安全团队一看,必属钓鱼邮件无疑 ,第一时间告知呼叫中心的同事们不要理会该邮件。

邮件内容如下:

blob.png

为了防止打开附件后中毒,我们在虚拟机中打开了附件,结果发现是让加QQ群,八成是让我们发敏感材料。

blob.png

0x01 三十六计之假痴不癫

假作不知而实知,假作不为而实不可为,或将有所为。司马懿之假病昏以诛曹爽,受巾帼假请命以老蜀兵,所以成功;姜维九伐中原,明知不可为而妄为之,则似痴矣,所以破灭。兵书曰:“故善战者之胜也,无智名,无勇功。”当其机未发时,静屯似痴;若假癫,则不但露机,则乱动而群疑。故假痴者胜,假癫者败。或日:假痴可以对敌,并可以用兵。宋代,南俗尚鬼。狄青征侬智高时,大兵始出桂林之南,因佯祝曰:“胜负无以为据。”乃取百钱自持,与神约,果大捷,则投此钱尽钱面也。左右谏止,傥不如意,恐沮师,青不听。万众方耸视,已而挥手一掷,百钱旨面。于是举兵欢呼,声震林野,青亦大喜;顾左右。取百丁(钉)来,即随钱疏密,布地而帖丁(钉)之,加以青纱笼,手自封焉。曰:“俟凯旋,当酬神取钱。”其后平邕州还师,如言取钱,幕府士大夫共祝视,乃两面钱也。

这套路太低级了,一开始我们嗤之以鼻,后来想了想何不将计就计,如果有机会能反击回去黑掉骗子的电脑也是蛮有意思,最终目的是给骗子电脑安装一个木马,于是我就用QQ小号申请加了群。

blob.png

进群之后不久,对方发了第一条消息,如下图,可见这时候骗子还没注意到细节,群昵称还是“乐乐”,我看着确实想乐,心说这点细节都不注意,太不专业了吧。不过我作为一个演员,还是忍住了没拆穿他,继续跟他缠斗。对方直接探我底细,想看看我是不是真的出纳,于是让我发给他一份收支明细,同事X在旁支招说:“一般不都是月底发么”,借此机会进一步博得对方信任。

blob.png

0x02 三十六计之瞒天过海

阴谋作为,不能于背时秘处行之。夜半行窃,僻巷杀人,愚俗之行,非谋士之所为。昔孔融被围,太史慈将突围求救,乃带鞭弯弓,将两骑自从,各作一的持之。开门出,围内外观者并骇。慈竟引马至城下堑内,植所持的射之,射毕,还。明日复然,围下之人或起或卧。如是者再,乃无复起着。慈遂严行蓐食,鞭马直突其围,比敌觉,则驰去数里矣。

就在我说需要两个多小时之后才能弄完后,骗子耐不住性子开始让我查账截图给他。我手里哪会有账本,即使有也不能给啊。于是我随即用excel捏造了一份数据。

blob.png

这里又有一个细节:下图中excel,我故意从F列开始写5月份的数据,并且冻结首列。其实前面B-E列都是空白的,隐藏后截图发过去可以说1-4月的均在前面。但是如果我从B列开始写5月份数据,对方要是精明的话,会即刻看出破绽,怀疑我是不是临时编造的。同时为了解释6月份为何突然账目余额多了1亿,我还特意备注了“6月大促”来增加可信度。

blob.png

骗子看完后还跟我玩套路,问这个是不是全部的账目,我顺势回复把其他几个公司信息也说出去,这些均为博取骗子信任的铺垫。然而刚说完,对方直奔转账套路而去,我一看形式不对,施展“拖”字诀,借口有会临时推迟付款,并向其索要账号信息。

blob.png

对方发来收款信息后,我琢磨了一下报警的可行性,想了想仅通过这个账户的信息来抓到骗子的可能性太低。如今黑产骗子们肯定不会用团伙中的任何一个人的真实身份来注册银行卡,一般均从偏远山村花“小钱”(对于黑产来说是小钱,但对于人均收入较低的村民来说可能是比较客观的数目)向村民“借”身份证,用他们的身份证来注册银行卡、手机号等需要实名制的账户,从而绕过身份追踪。

blob.png

对方继续催问,估计是没耐心了,此时我继续用拖字诀,推迟到下午3点,不能让对方把鱼钩放开,此时我和骗子的角色均互为渔夫和鱼。

blob.png

0x03 三十六计之反客为主

为人驱使者为奴,为人尊处者为客,不能立足者为暂客,能立足者为久客,客久而不能主事者为贱客,能主事则可渐握机要,而为主矣。故反客为主之局:第—步须争客位;第二步须乘隙;第三步须插足;第四足须握机;第五乃为主。为主,则并人之军矣;此渐进之阴谋也。如李渊书尊李密,密卒以败;汉高视势未敌项羽之先,卑事项羽。使其见信,而渐以侵其势,至垓下—役,—亡举之。

于是时间来到约定好的下午3点,我随便截了个图,用公司的DLP加密发送过去,对方没有解密的终端肯定是打不开的,此时为下一步发送木马客户端做铺垫。

blob.png

待对方说打不开后,我们马上打开了Gh0st远控,制作了个exe文件并做了免杀,之后将文件进行压缩伪装成解密工具给对方发过去。但从下图中对方急切让我截图回执单这一行为来分析,对方还是有些警惕的。

blob.png

在对方多次要求截图后,我给他发了个黑屏(DLP在某些程序运行时进行截图会直接黑屏,以避免通过截图来泄露信息)。但这里有个纰漏,最开始的“收支明细”也是截图过去的,还好被我拖了好几个小时,对方可能都忘记了。

于是双方就这样沉默了一会儿,我们突然发现Gh0st有一个上线通知,一阵欢呼,看到骗子电脑中有各个行业的行骗信息。至此,自卫反击战宣告第一阶段胜利,我们就点到为止了。

blob.png

blob.png

blob.png

0x04总结

1.钓鱼邮件种类繁多,利用邮件骗取敏感信息是最简单和常见的钓鱼方式,这种邮件大多自称是领导或者运维管理部,看到这种邮件一般都会头脑发热,精神紧张,很容易不假思索就直接回复。

2.在打开陌生人发来的邮件附件时,请务必做杀毒处理。

3.在时间和安全均满足的情况下,能反击就尽力反击,要严厉打击这种坑蒙拐骗的人。

4.反击时务必要做好免杀处理以及前期server准备工作,务必要做到一击必杀。

本文为 RipZ 原创稿件,授权嘶吼独家发布,未经许可禁止转载,如若转载,请联系嘶吼编辑: http://www.4hou.com/web/5800.html

点赞 34
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

RipZ

这个人很懒,什么也没留下

发私信

发表评论

    程白凡
    程白凡 2017-06-27 16:26

    这剧情简直跌宕起伏…
    刚开始真的以为是发个病毒过来的,没想到竟然发了单页PPT…
    这真的是智商的考验啊…
    集美貌和才华于一身的我,是不可能中招的

    nyy8885
    nyy8885 2017-06-27 15:50

    这就结束了!!!!然后呢?!!!黑产五件套也是666啊!

    小黄人
    小黄人 2017-06-27 15:43

    魔高一尺道高一丈,最终还是得道高僧胜了