一. 釣魚技術(shù)簡介

隨著安全防護技術(shù)水平的提高以及安全設(shè)備對攻擊行為檢測能力的提升，傳統(tǒng)WEB攻擊手段越來越難以有效突破防守單位的高強度防守。釣魚攻擊逐漸受到紅隊的重視。與傳統(tǒng)的攻擊手段相比，釣魚攻擊成功率高，往往能達到較好的攻擊效果。

二. 信息收集

任何釣魚攻擊都應(yīng)該在前期做好足夠的信息收集和整合。如收集目標企業(yè)的招聘信息、招投標信息、法律糾紛、供應(yīng)鏈信息、職員手機號、社交賬號、域名、企業(yè)組織機構(gòu)、高管姓名等。釣魚攻擊最理想的情況是在信息收集過程中獲取了企業(yè)某個員工、管理員郵箱口令；或者獲取了某個Web服務(wù)器權(quán)限，在配置文件中找到了郵箱信息；再或者獲取了辦公系統(tǒng)權(quán)限或賬密，并且辦公系統(tǒng)中存在工作流或郵件收發(fā)功能，這樣便擁有了一個企業(yè)內(nèi)部的合法身份。

三.釣魚方式選擇

從釣魚攻擊的路徑可以簡單分為以下幾種釣魚攻擊方式。1、社交釣魚：微信、QQ、釘釘、社交群聊，這類釣魚適合在信息收集階段，發(fā)現(xiàn)目標在互聯(lián)網(wǎng)泄露聯(lián)系方式的情況，如發(fā)現(xiàn)該公司釘釘或QQ群，發(fā)現(xiàn)公司某員工手機號，通過手機號獲取社交賬號好友關(guān)系等。社交平臺釣魚是以社交網(wǎng)站或軟件作為平臺，通過發(fā)送病毒鏈接或欺詐消息打開鏈接后下載木馬，竊取用戶機密信息。2、郵件釣魚：在信息收集階段獲取目標招聘、法務(wù)糾紛、招投標等信息，可以嘗試進行郵件釣魚攻擊，該類釣魚攻擊適合目標在互聯(lián)網(wǎng)發(fā)布公開信息的情況。電子郵件釣魚是目前最為常見的一種釣魚攻擊方式?？梢酝ㄟ^發(fā)送偽造的郵件，偽裝成銀行、電信、政府機構(gòu)等，以獲取敏感信息或投遞惡意程序。3、網(wǎng)站欺詐：利用郵件、社交等渠道，以友好和誘人的形式，誘導(dǎo)用戶點擊鏈接，將目標轉(zhuǎn)到已偽裝站點，騙取用戶賬號和密碼。4、被動釣魚：Github代碼倉庫、Python庫等、公開文檔，被動釣魚適合大型攻防演練、APT攻擊等，在互聯(lián)網(wǎng)側(cè)廣泛釋放虛假信息迷惑目標進行下載、安裝、運行等。釣魚攻擊可分為以下幾類：1、魚叉攻擊：魚叉攻擊主要是針對特定人員制定特定的攻擊話術(shù)，而非普遍撒網(wǎng)，對于大范圍的釣魚攻擊被發(fā)現(xiàn)的概率將會大大增加，因此實戰(zhàn)過程中，攻擊人員通常更愿意對特定的群體進行釣魚攻擊。如在攻防演練中，紅隊師傅尤其注重對運維人員的釣魚攻擊，往往運維人員主機上存放有系統(tǒng)臺賬，大概率涵蓋重要業(yè)務(wù)系統(tǒng)。一旦上鉤將對內(nèi)網(wǎng)突破帶來較大增益。2、水坑攻擊：在目標的必經(jīng)之路上設(shè)置陷阱等待目標經(jīng)過并且觸發(fā)，從而在受害者主機上植入木馬。通常是利用組織重要業(yè)務(wù)系統(tǒng)漏洞或權(quán)限，放置惡意代碼，正常用戶一旦訪問，便會觸發(fā)惡意代碼獲取目標主機權(quán)限。3、鯨釣攻擊：主要針對企業(yè)高層管理人員的釣魚攻擊，這類目標往往不會和普通員工一樣接受網(wǎng)絡(luò)安全意識培訓(xùn)，普遍對于釣魚攻擊的防范意識不足，更容易攻擊成功，并且攻擊該類人員成功后獲取的信息價值更高，危害更強。

四. 釣魚話術(shù)準備

釣魚話術(shù)是進行釣魚攻擊的重要一環(huán)，不同的話術(shù)是對應(yīng)不同的釣魚目標，可以起到不同的攻擊效果。在準備釣魚攻擊前，需要對釣魚對象有足夠的了解。如目標企業(yè)員工聯(lián)系方式、是否身處企業(yè)內(nèi)部：重要通過目標職位、部門判斷，如公司行政職位、辦公設(shè)備是否接入公司網(wǎng)絡(luò)、目標在公司的職位崗位、設(shè)備是否安裝殺軟，或殺軟類型。釣魚攻擊話術(shù)至關(guān)重要，相對于漏洞攻擊需要掌握嫻熟的技術(shù)，需要對各類代碼，編程語言較為熟悉不同。釣魚攻擊的對象是人，釣魚是否成功很大程度上取決于攻擊者的社交能力。如同魔術(shù)師一切的表演都是為了轉(zhuǎn)移觀眾注意力掩飾“魔術(shù)道具”一樣，釣魚攻擊的話術(shù)也是通過話術(shù)試圖將“魚鉤”隱藏在花言巧語之中。

五. 釣魚附件制作

5.1 附件免殺技術(shù)

釣魚攻擊永遠繞不過的坎便是對抗殺軟，在計算機普遍安裝個人殺軟，企業(yè)部署沙箱、企業(yè)級EDR的情況下，未經(jīng)處理的木馬程序很難落地或執(zhí)行。定制免殺木馬，以便能通過目標沙箱檢查和殺軟查殺。最好能夠在信息收集時或與受害者溝通時打探清楚目標是否存在殺軟，使用什么樣的殺軟，以便能夠制作相對應(yīng)免殺的木馬樣本。能夠利用欺騙的藝術(shù)，使目標關(guān)閉殺軟是最簡單的方案，但是現(xiàn)實通常是攻擊方無法獲取目標殺軟情況，一切都是黑盒操作，為保證釣魚攻擊成功率，則只能制作足夠強的免殺，能夠bypass更多的殺軟。想要制作免殺木馬，就要了解殺軟工作原理。殺軟通常會對軟件進行靜態(tài)分析和動態(tài)分析。在靜態(tài)分析中，殺軟會檢查文件的二進制代碼，掃描其中的特定模式和指令序列，以識別可能的惡意行為。包括查找已知的惡意簽名和計算機病毒，比對文件是否存在惡意行為等。靜態(tài)免殺是指攻擊者使用技巧來使其惡意軟件在靜態(tài)分析下無法被殺軟檢測出來，例如修改文件格式、使用加殼器或混淆器、隱藏惡意代碼等。而動態(tài)分析則是在實際運行時監(jiān)控程序的行為，觀察它的系統(tǒng)調(diào)用、網(wǎng)絡(luò)流量、文件操作和其他行為。這可以幫助殺軟識別那些使用代碼混淆、加密或其他技術(shù)隱藏的惡意行為。動態(tài)免殺是指攻擊者使用技巧來使其惡意軟件在動態(tài)分析下無法被殺軟檢測出來，例如使用虛擬化技術(shù)、進程注入、代碼混淆、反調(diào)試技術(shù)、反沙箱、動態(tài)生成惡意代碼等繞過殺軟的分析功能。以下簡單介紹幾種免殺木馬制作的方式。

5.1.1 免殺加載器

免殺加載器通過將加密、編碼、字符串替換等方式處理后的Shellcode逆向處理還原出真正的shellcode，并將shellcode寫入到內(nèi)存中執(zhí)行。

這里寫了一個簡單的免殺木馬加載器。可以看到cs生成的二進制shellcode里面是有一些特征存在的，各大殺軟對cs的shellcode嚴密查殺。將shellcode通過加密、編碼、混淆、隱藏的方式進行轉(zhuǎn)換后動態(tài)生成。

將shellcode取反后已經(jīng)消除了大部分特征。

在處理shellcode的時候?qū)⑵淠嫦蛱幚恚纾?/p>

buf[i] ^= 186; 異或

buf[i] = -buf[i]; 取反

dshellcode = decrypt(key,encrypy_shellcode) 解密

dshellcode = base64decode(encode_shellcode) base64解碼

remove_obscure = obscure_shellcode.replace(“somechar”) 字符串替換等方式還原shellcode。

申請足夠的可讀寫執(zhí)行的內(nèi)存空間，并將shellcode寫入內(nèi)存空間中

PVOID hAlloc = VirtualAlloc(NULL, length, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

memcpy(hAlloc, buf, length);

通過Hook shellcode獲取句柄，在內(nèi)存中執(zhí)行shellcode即可成功上線。將病毒庫更新到最新，殺軟靜態(tài)查殺通過。

主機正常上線，命令正常執(zhí)行，殺軟未進行攔截。

類似C,C++語言的加載器被各大殺軟嚴密監(jiān)控，可以嘗試使用其他工具的加載器，如前期興起的python、go語言，再如近期被應(yīng)用于免殺領(lǐng)域較多的nim開發(fā)語言，小眾語言對繞過殺軟有奇效。

相對于shellcode在免殺中是彈藥的角色，加載器則是武器的角色，殺軟通過分析程序的行為可能識別出代碼是加載器代碼或通過加載器的內(nèi)存特征從而進行查殺，因此對于此類情況不論怎樣變換shellcode，殺軟還是能完美查殺惡意程序。對于此類情況，簡單的思路是更換shellcode的加載方式或混淆加載器代碼。這里簡單實現(xiàn)一種混淆加載器過殺軟的方法。通過對加載器進行代碼填充、隨機變量名生成動態(tài)生成加載器。

除了自己寫免殺加載器外，有許多開源免殺工具可供使用如veil、venom、avet等，此類開源免殺均附帶使用方法，不多過多贅述。值得注意的是，開源免殺被使用的較多，對于此類免殺技術(shù)很快會被殺軟識別查殺并入特征庫，想要對抗殺軟，最重要的是保持免殺技術(shù)的新鮮性。

5.1.2 分離免殺

分離免殺本質(zhì)還是加載器免殺，只是將加載器和shellcode進行分離，往往和加載器免殺結(jié)合使用，實戰(zhàn)中應(yīng)該選擇合適的方式進行攻擊。利用開源工具實現(xiàn)分離免殺。分離免殺相對于shellcode加載器來說會更加隱蔽，一般是通過shellcode加載器通過遠程或本地抓取的方式，將編碼、加密、混淆、隱藏等操作處理后的shellcode逆向還原后寫入內(nèi)存。

此外分離免殺對于shellcode的混淆有先天優(yōu)勢。允許對惡意腳本做更多操作，如在代碼中增加shellcode處理過程。將shellcode進行加密或編碼后隱藏到正常文件中如一張圖片中，進行隱寫或直接寫入文件內(nèi)部。創(chuàng)建加載器將藏有shellcode的圖片加載到本地，對shellcode進行提取，寫入內(nèi)存并執(zhí)行，就可以執(zhí)行shellcode?？梢越宕死@過部分殺軟的流量監(jiān)控遠程加載shellcode。

5.1.3 加殼免殺

相對于上面的兩種免殺方式，加殼方式免殺比較簡單，使用收集來的加殼程序?qū)⒛抉R文件處理后，即可嘗試免殺效果。但是往往事與愿違，殺軟對加殼的程序往往更重視，同時殺軟也可能對殼特征進行標記，導(dǎo)致本可以免殺的木馬被查殺。如本處使用Shielden殼（默認選項）處理被識別為后門，未加殼的程序則報告為安全。

但是加殼后可以免殺其他部分殺軟，未加殼的程序則被該殺軟靜態(tài)查殺，如下面加殼后的文件未被查殺。加殼后的start1_se.exe免殺。

不同的殺軟對各類加殼識別率和查殺率均不一致。加殼可能能夠繞過部分殺軟檢測，同時也可能增加木馬的查殺率。因此對于加殼免殺，通常要嘗試多種加殼程序和方式，本地測試能夠過殺軟的情況下再選用合適的殼繞過目標殺軟。

5.1.4 修改特征免殺

修改特征碼免殺可以做到高效精準免殺。原理是將木馬文件分片成細小程序段后使用殺軟進行查殺，被查殺的那個就是特征碼所在的區(qū)段，對被查殺的區(qū)段再進行細分直至不報毒。Myccl是定位特征碼位置的工具，打開myccl載入木馬，使用殺軟進行查殺，被查殺的那個就是特征碼所在的區(qū)段，重復(fù)此操作直至殺軟不報毒。然后對特征碼修改，值得注意的是特征碼修改可能會導(dǎo)致程序無法正常運行，需要具備一定的匯編知識。

使用virTest進行start1.exe的特征定位，該軟件采用2分排除法，可以自動定位惡意文件中的特征碼。首先關(guān)閉所有殺軟點擊制作測試文件，選擇被木馬免殺的文件，會自動再virTest同級目錄生成virtest.vir文件，然后點擊載入測試文件選擇生成的virtest.vir文件，開啟需要bypass的殺軟，點擊定位特征代碼按鍵。殺軟會對每個代碼段進行自動查殺，部分殺軟查殺慢需要手動確認來保證測試準確度。自動測試結(jié)束后，軟件會告知特征碼偏移位置和特征碼數(shù)量。

這里可以看到樣本存在一個特征碼被標記，使用二進制文件編輯器打開這個木馬，將特征碼修改其中1位，然后直接保存。嘗試上線，執(zhí)行修改后的exe成功上線。如果程序無法執(zhí)行，可能是破壞了程序的函數(shù)結(jié)構(gòu)，可以多嘗試幾次修改不同位置。

當然修改特征碼并不是能夠通殺所有殺軟，例如修改特征碼可能導(dǎo)致程序崩潰，或者木馬被殺軟掃描出的位置較多，則修改起來的難度就會更高。

5.2 附件偽裝技術(shù)

偽裝即通過手段將釣魚樣本進行表面上的偽裝，如讓可執(zhí)行文件看起來更像PDF，再如通過替換木馬exe的.ico圖標，使得木馬看起來像一個官方可執(zhí)行文件，在信息收集時，將受害者所在組織的官網(wǎng)圖標收集，并為木馬綁定，降低目標警惕性。如果文件運行之后沒有任何反應(yīng)，會引起對方的懷疑。這時候就需要對木馬進行圖標、文件信息進行修改，將正常文件和木馬綁定，用戶運行時釋放準備的正常文件。紅隊需要掌握釣魚文件制作技術(shù)以降低目標戒心，下面列舉常見的幾種方法。

5.2.1 自解壓

自解壓文件是壓縮文件的一種，因為它可以不用借助任何壓縮工具，而只需雙擊該文件就可以自動執(zhí)行解壓縮，因此叫做自解壓文件。同壓縮文件相比，自解壓的壓縮文件體積要大于普通的壓縮文件（因為它內(nèi)置了自解壓程序），但它的優(yōu)點就是可以在沒有安裝壓縮軟件的情況下打開壓縮文件（文件類型為·exe格式）。使用自解壓格式木馬，目標下載壓縮包解壓后自動解壓到特定目錄并運行，或?qū)⒛抉R綁定到正常的文件安裝包上，當文件被運行的時候，木馬會被同時運行并隱藏自身到特定目錄，此時目標就已上線。

假設(shè)當前我們已經(jīng)擁有一個可上線木馬。此時我們在實施釣魚攻擊的時候，認為無法直接使用木馬可執(zhí)行文件作為釣魚攻擊程序，則可以使用正?？尚盼募湍抉R文件打包成自解壓壓縮包的方式，將木馬投遞。首先將木馬文件和正常文件放入文件夾下，使用WinRAR自解壓格式進行文件壓縮。在高級配置里，在自解壓選項里配置解壓路徑，這里使用了環(huán)境變量代替絕對目錄。這里的%TEMP%表示：C:\Users\用戶名\AppData\Local\Temp。選擇配置提取前運行木馬程序，提取后運行正常程序，或是提取前后運行兩個文件。模式中選擇安靜模式，可以隱藏解壓進度，防止解壓文件時暴露壓縮文件中的內(nèi)容。這里建議木馬文件先于正常文件運行，否則只有當正常文件運行完被關(guān)閉時才會運行木馬文件。

更新中選擇跳過已經(jīng)存在的文件，避免目錄已存在文件，彈框詢問。添加自解壓文件圖標。這里選擇跳過已存在的文件有兩個原因，一個是防止已存在文件，會彈框提示已存在文件，暴露隱藏的木馬文件。二是如果已存在木馬文件，且正在運行，第二次運行自解壓文件會提示無法提取木馬文件，因為木馬文件在此前已經(jīng)運行，存在進程列表中，無法完成自動覆蓋操作。會泄露木馬解壓路徑和解壓文件名?？梢圆捎靡恍┑谌酵ㄟ^圖片生成ico，也可以使用在線ico轉(zhuǎn)換工具進行轉(zhuǎn)換。重新使用圖標進行壓縮。雙擊運行，正常文件打開，木馬被加載到預(yù)定目錄，且主機上線，無其他異常彈框。

5.2.2 資源修改技術(shù)

資源修改一方面可以更好的偽裝木馬文件，讓目標更加相信是一個正常文件，另一方面可以通過文件資源的變動，影響殺軟對特征碼的判斷。以某免殺平臺處理過的cs載荷為例,使用殺軟查殺發(fā)現(xiàn)該免殺已失效，樣本被查殺。使用restorator將正常文件的資源文件全部復(fù)制給不免殺的木馬start.exe。保存后發(fā)現(xiàn)start.exe體積變大，圖標被修改。

查看屬性發(fā)現(xiàn)start.exe為cs默認可執(zhí)行文件載荷經(jīng)過免殺混淆程序進行處理過的免殺程序，目前已被查殺。但是經(jīng)過一系列資源替換后，木馬可繞過殺軟。未進行資源替換直接加殼會被部分殺軟查殺，而進行資源替換后并加殼可過繞過部分殺軟，同樣反映了資源替換可一定程度上提升木馬的免殺能力。部分情況不能夠bypass殺軟的情況下，可以嘗試對程序進行數(shù)字簽名來嘗試繞過。

5.2.3 捆綁機技術(shù)

常用的捆綁方式是將木馬文件添加到正常的可執(zhí)行文件尾部，當正常文件執(zhí)行的時候，將木馬同時執(zhí)行，這種技術(shù)已經(jīng)比較普遍過時，捆綁非免殺馬的情況下很容易被殺軟識別。利用二禁止文件編輯器搜索PE文件頭。如果找到兩個以上，就基本證明存在捆綁文件。當然有其他的捆綁形式，如將木馬捆綁在圖片上、PDF、Word文檔、Excel中，更利于引誘目標點擊，目標點擊執(zhí)行后，木馬在后臺執(zhí)行并使主機上線，捆綁文件則被正常加載。如下圖_Manage_bind.exe為捆綁后的文件，運行后木馬上線并逃逸到指定位置。捆綁程序正常執(zhí)行。

木馬偽裝、捆綁技術(shù)在一般情況下只是為了隱藏木馬，真正目的并非通過捆綁靜態(tài)免殺。當捆綁被執(zhí)行，木馬與捆綁文件分離后，使用的木馬文件將原原本本暴漏在殺軟面前，若捆綁前不是免殺馬，執(zhí)行后同樣會被殺軟殺掉。

六. 誘餌投遞

以上工作完成之后，將木馬以各種方式投遞到目標系統(tǒng)，靜待魚兒上鉤。為了能夠更加穩(wěn)健的使主機上線，此時是否能夠上鉤取決于釣魚話術(shù)是否具有足夠的迷惑性，讓目標深信不疑。1.給目標適當?shù)膲浩雀校鐐卧煲粋€會導(dǎo)致嚴重后果的事件、或偽造一個受害者無法拒絕的身份（組織內(nèi)部上級領(lǐng)導(dǎo)、第三方運維、應(yīng)聘者等）。2.給目標營造出時間上的緊迫感，突出事態(tài)的嚴重性。受害者在著急解決問題的情況下會降低對事件的敏銳度，忽略求證時間。適當催促可能會獲得意想不到的效果。3.向目標施以一定的利誘，當你作為攻擊者偽裝成公司行政時，便可以許諾完成某某活動即可獲得獎金，與下月工資一同匯入賬戶，成功率將大大提升。4.善于審時度勢，釣魚攻擊方式多變，如企業(yè)正處于攻防演練中，則可以以攻防演練為由頭，告知職員需要進行安全檢查。如臨近法定假期，偽造節(jié)假日放假安排等等符合常理的安排。5.為確保成功率，可以考慮使用多個木馬和C2服務(wù)器進行遠控。

七. 權(quán)限維持

在獲取服務(wù)器權(quán)限后，為了防止目標發(fā)現(xiàn)和修補漏洞或是封禁IP而導(dǎo)致對服務(wù)器權(quán)限的丟失。需要對上線主機做權(quán)限持久化（權(quán)限維持），持久化技術(shù)包括任何可以被攻擊者用來在系統(tǒng)重啟、更改用憑據(jù)或其他可能造成訪問中斷的情況發(fā)生時可保持或恢復(fù)對目標訪問權(quán)限的技術(shù)，這里介紹幾種簡單的持久化方案。1、進程遷移：木馬上線后，為了避免目標應(yīng)急處置，導(dǎo)致木馬被殺、IP封禁導(dǎo)致目標掉線，首要任務(wù)是對進程做遷移。進程遷移通常是將木馬進程注入到其他穩(wěn)定的進程中，msfconsole、cs等都可以很方便的做進程遷移或注入。2、隱藏文件：大多數(shù)普通用戶不會開啟文件后綴顯示或顯示隱藏的項目選項。使用attrib +h +s filename將文件隱藏后，即使開啟隱藏的項目選項也無法查看到文件，命令行dir列目錄同樣無法顯示，需dir –a可顯示，使用attrib -h +s filename可重新恢復(fù)顯示。3、定時任務(wù)：windows 下定時任務(wù)的命令有兩個分別是：at 和 schtasks，他們兩者主要區(qū)別是 at 命令在 win7、08 等高版本的 windows 中是不能將任務(wù)在前臺執(zhí)行的，也就是只會打開一個后臺進程，而 schtasks 是將定時的任務(wù)在前臺執(zhí)行。4、開機自啟項：簡單的開機自啟將需要開機自啟的程序放入下面路徑中C:\Users%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup即可。5、隱蔽隧道：部分防守方比較警惕并且安全設(shè)備完善，一旦發(fā)現(xiàn)內(nèi)網(wǎng)存在入侵現(xiàn)象或惡意外聯(lián)現(xiàn)象，便會及時開展應(yīng)急排查和溯源反制，通常應(yīng)急處置第一步會將惡意IP封禁，為了避免攻擊IP被防守方發(fā)現(xiàn)并清除，可以利用多個服務(wù)器搭建隱蔽隧道，配置額外C2上線并設(shè)置較長的心跳防止被一波清除。

八. 釣魚攻擊案例

8.1 偽造安全檢查郵件釣魚

施郵件釣魚時，郵件內(nèi)容表示要求對公司的電腦進行升級，安排程序升級員工進行操作。攻擊者把工具偽裝成裝修工具，讓員工下載然后埋下安裝木馬。再如某某部門要求進行某項內(nèi)容的工作，命令接受者上點擊附件，之后系統(tǒng)就會自動下載木馬程序。

某活動中，攻擊方通過OA漏洞，獲取了防守方OA系統(tǒng)管理員權(quán)限，其中OA系統(tǒng)存在郵件管理功能，通過管理員的郵箱，以信息安全為由偽造郵件，并將木馬作為郵件發(fā)送到企業(yè)內(nèi)部。由于處于攻防演練期間，且發(fā)件人出自企業(yè)內(nèi)部管理員，因此該郵件置信度非常高，最終多個設(shè)備上線。

8.2 通過法律糾紛釣魚

前期對目標單位進行信息收集，發(fā)現(xiàn)目標單位存在買賣合同糾紛，利用企業(yè)信息查詢網(wǎng)站獲取目標單位郵箱地址，將木馬通過加密附件的形式投遞到公司郵箱，成功上線目標單位郵箱管理員主機。

九. 釣魚攻擊防范

釣魚攻擊主要通過偽裝成合法實體，誘導(dǎo)用戶進入虛假網(wǎng)站提交敏感信息或點擊惡意程序?qū)崿F(xiàn)攻擊目的。釣魚攻擊是多變的，必須要結(jié)合特定的場景，制定特定的攻擊文案和引誘話術(shù)，配合巧妙的木馬樣本制作技術(shù)，達成一定的可信性，誘使目標上當。預(yù)防釣魚攻擊的關(guān)鍵在于提高用戶并組織內(nèi)部的安全意識教育和技能培訓(xùn)，避免單擊可疑鏈接和附件、及時更新應(yīng)用程序等。為了應(yīng)對釣魚攻擊，應(yīng)做好以下工作：

1、加強組織內(nèi)部的安全意識教育和技能培訓(xùn)，提高員工對釣魚攻擊進行識別和預(yù)防的能力。公司員工社交媒體賬號盡量不從官網(wǎng)、招聘、招標等渠道泄露，對人事招聘HR、法務(wù)部人員等需對外溝通崗位工作人員加強安全意識培訓(xùn)。2、強制公司內(nèi)部使用強密碼和啟用兩步驗證等方式保護個人賬號的安全，避免敏感信息被攻擊者竊取，啟用賬號密碼更新策略，避免老舊密碼泄露導(dǎo)致被攻擊者登陸。3、 應(yīng)及時統(tǒng)一更新操作系統(tǒng)和應(yīng)用程序，安裝安全補丁，避免安全漏洞被攻擊者利用。4、部署郵件服務(wù)器沙箱，文件應(yīng)通過沙箱特征庫掃描、威脅情報匹配、啟發(fā)式掃描和行為識別組合，判斷是否為惡意文件或釣魚鏈接。內(nèi)網(wǎng)主機及殺軟沙箱及時更新特征庫，避免因特征庫老舊導(dǎo)致部分惡意文件可落地執(zhí)行。5、 核實郵件內(nèi)容，接收并點擊外來文件時，文件應(yīng)先使用殺軟掃描。對“福利”、“補貼”等字眼的郵件應(yīng)仔細辨別，避免不假思索下載打開不明附件。6. 需要注意發(fā)件人的郵件地址、郵件內(nèi)容是否存在語法錯誤或拼寫錯誤等，以辨別可疑郵件來源的真實性。7、對新添加的社交賬號，應(yīng)保持警惕，通過熟悉的人、事物或經(jīng)歷，驗明對方身份。8、 不應(yīng)輕易執(zhí)行附件中的可執(zhí)行文件、office文件、陌生后綴文件，避免直接點擊郵件鏈接訪問，最好直接訪問已知的該網(wǎng)站域名。如認為是不明鏈接或可疑網(wǎng)站，請事先向IT人員或發(fā)件人確認，進行驗證后再進行操作。

承影戰(zhàn)隊

新華三承影戰(zhàn)隊，專注前沿攻擊技術(shù)研究，研究方向包括web攻防、0day挖掘、紅隊工具開發(fā)等，長期招聘攻防研究員，簡歷投遞：jiang.wenming@h3c.com (請注明來自FreeBuf)

本文作者：新華三承影戰(zhàn)隊， 轉(zhuǎn)載請注明來自FreeBuf.COM