安全响应中心 — 垃圾邮件事件报告(4.18)

news2024/11/15 15:31:34

天空卫士安全响应中心邮件安全小组是成都研发中心的核心部门之一。在日常工作中,对大量样本进行分析并提取规则,实现对包含垃圾内容、钓鱼内容的邮件进行检测和隔离,从而抵御对业务电子邮件的入侵,防止钓鱼邮件等隐蔽邮件威胁。其成果持续集成到解决方案中,提升垃圾邮件的拦截效率,并为客户提供及时有效的安全防护。

垃圾邮件的处理能力是邮件安全网关能力的重要指标,当前对于垃圾邮件处理,通常采用的标准技术手段有:黑名单-白名单控制、增加发送者认证机制、启用域名密钥识别邮件标准、启用访问列表控制、设置关键字过滤和发送限制等。除此之外,从电子邮件的内容入手进行分析也是重要方向,技术手段包括:指纹垃圾库、启发式垃圾库等。

为了让更多人及时了解钓鱼和垃圾邮件的危害,从本周开始,我们会定期发布分析报告,选取近期一些具有代表性的垃圾邮件进行分析,展示处理方案,通过这个过程帮助客户了解垃圾邮件等最新动态及可能需要关注的防护要点。

2023年4月 第二周

样本概况

截止2023年4月第二周,本周垃圾邮件样本多以钓鱼邮件为主,还包括少量推销类、广告类邮件。

近日我团队陆续收到来自不同客户通过邮箱反馈而来的钓鱼邮件样本,该类邮件是通知客户下载/查看电子发票的通知性系统邮件,文本上的特征无异常。但邮件中的链接通过伪造发票平台相似地址迷惑用户,亦或利用第三方资源存储平台诱导用户下载文件。

根据样本目的和恶意行为的不同,大致将样本分为2个类型。

✅ 类型1:

社工钓鱼,收集用户账户密码

详情如以下图片所示:

在这里插入图片描述

一旦用户点击了“下载PDF格式电子文档”后,页面会跳转到另外的网页上,安全团队立刻判断出此为钓鱼网站。

它具备以下高危特征:

页面风格设计仿冒某公司官网,被攻击者容易放下防备心理输入用户名和密码。

电子邮件账号固定无法更改,且不具备“忘记密码功能”,不符合正常的账号登录页面。

点击该页面其他按钮均无页面响应,不符合正常网页的常规功能。

网页地址虽然使用HTTPS协议,安全性较高,但被安全引擎检出为失陷主机,如下图所示:

在这里插入图片描述

综上所述,可判断该网站为钓鱼网站,该邮件为钓鱼邮件。

✅ 类型2:

木马

详情如下图所示:

在这里插入图片描述

用户点击“点击下载电子版发票”后便会下载一个zip压缩包,其中包含一个名为“(电-子-发-票).exe”的文件。被多个安全引擎检测确定为恶意木马,木马家族为Farfli。

IOC如下:

在这里插入图片描述
在这里插入图片描述

该样本中链接为“h[t][t]p:[/][/]5lfapiao.cn:1322/down/RwarCh8yMepl”,其中5lfapiao中的l为英文字母l,如果用户不注意的话容易与51发票官网链接混淆。

用户点击该链接后会下载一个名为“增值-税票.rar”的压缩包,其中包含一个bin文件和一个exe文件。经过安全引擎检测判断为木马,木马家族为Leonem。

IOC如下:

在这里插入图片描述

相关处置

✅ 1.身份校验

该类发票邮件多声称自己为可信发票平台或者可信合作商,例如伪造“百望云发票”、“51发票”等身份。启发式规则对发件人、中继服务器、链接等进行检测,可以检出这类伪造身份的行为。

✅ 2.诱导点击行为检测

启发式规则对于邮件内容中有诱导收件人点击链接的html文本特征进行检测,再配合其他可疑特征对该类钓鱼邮件进行识别。

✅ 3.可疑URL

本周整理出样本的URL,结合威胁情报作联动处理,提取相关特征编写到启发式规则中。

部分链接如下:

hxxp://5lfapiao.cn:1322/down/RwarCh8yMepl

hxxp://5lfapiao.com:1322/down/2773TkD0l7xd

hxxps://qsx.pw13.net/wp-content/plugins/kf/sf/details/index.php?i=i&0=xxxx@xxxxxxx.cn

hxxps://api.youkesdt.asia/admin/down/hash/af0752b6-585e-4d7d-a227-61fa4fe99c0d

hxxps://api.youkesdt.asia/admin/down/hash/fc12cc5f-275a-4047-bc9d-3ae71b828d33

hxxps://www.kdocs.cn/view/l/csSDNYk5PgmV

hxxp://swqe.sbs/home.html;jsessionid=052DBFAB7D6B1C72D2EAB1FE5C85BB44

提示

谨慎点击来自不明邮箱地址发送的发票类邮件中的链接!

供稿团队:

天空卫士安全响应中心邮件安全小组

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/453310.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

9. 树的进阶

9. 树的进阶 ​ 之前我们学习过二叉查找树,发现它的查询效率比单纯的链表和数组的查询效率要高很多,大部分情况下,确实是这样的,但不幸的是,在最坏情况下,二叉查找树的性能还是很糟糕。 例如我们依次往二叉…

基于tensorflow2.x的多GPU并行训练

由于最近训练transformer,在单卡上显存不够,另外一块卡上也无法加载,故尝试使用双卡并行的策略。将基本的流程、遇见的难题汇总在这里。分布策略解释 使用官方给出的tf.distribute.MirroredStrategy作为分布策略。这个策略通过如下的方式运行…

Echarts渲染行政区划,实现聚焦高亮交互

首先需要准备行政区划的JSON数据&#xff0c;可以在DataV获取省市区的JSON数据。 最终效果图 渲染地图 建立一个地图容器&#xff0c;注意要给宽高 <!-- 地图容器 --> <div id"map"></div>请求JSON数据&#xff0c;渲染地图 $(function() {var …

Ubuntu 20版本将动态ip修改为静态ip时,ping 不通网络

问题描述&#xff1a; 在对Ubuntu 20版本将动态ip修改为静态ip时&#xff0c;ping www.baidu.com ping不通了 火狐浏览器没有了网路&#xff0c;下载不了东西 一直卡在这里不动 问题出在哪里还是配置ip dns 网关的问题 如果我们在当初安装ubuntu 时&#xff0c;将网络设置成…

24年专转本想要成功我们一个怎样做

23年转本报名人数创造高峰&#xff0c; 24年转本的同学们 如何脱颖而出&#xff0c;成功转本呢&#xff1f;一、明确转本目的 转本是一场重要的考试&#xff0c;有人把转本比喻为第二次高考。面对这唯一的进入本科院校学习的机会&#xff0c;考还是不考&#xff1f; 很多同…

小六壬学习笔记

小六壬学习笔记 简介前置知识:十二地支和十二时辰适用范围起课&#xff1a;月令日时卦象 疑问&#xff1a;遇到闰月怎么办&#xff1f;禁忌数字起课法手机计算器取余数 简单解卦 简介 马前课&#xff0c;又名&#xff1a;小六壬。 小六壬历史渊源&#xff1a;https://m.sohu.c…

RXJava2的基本概念与常见操作符使用实例解析

RXJava2是什么&#xff1f;可以简单介绍一下其特点和应用场景吗&#xff1f; RXJava2是基于观察者模式和链式编程思想的异步编程库&#xff0c;它可以用来优雅地处理异步操作&#xff0c;比如网络请求、数据库查询、文件I/O等操作&#xff0c;减少了回调嵌套&#xff0c;提高了…

【LeetCode】剑指 Offer 68. 二叉树中两个节点的最低公共祖先 p326 -- Java Version

1. 题目介绍&#xff08;68. 二叉树中两个节点的最低公共祖先&#xff09; 面试题68&#xff1a;二叉树中两个节点的最低公共祖先&#xff0c; 一共分为两小题&#xff1a; 题目一&#xff1a;二叉搜索树的最近公共祖先题目二&#xff1a;二叉树的最近公共祖先 2. 题目1&#x…

目标检测 pytorch复现SSD目标检测项目

目标检测 pytorch复现SSD目标检测项目 0、简介1、模型整体框架&#xff08;以VGG16为特征提取网络&#xff09;3、默认框&#xff08;default box&#xff09;的生成--相当于Faster-RCNN中生成的anchor4、预测层的实现原理&#xff1a;5、正负样本的选取6、损失的计算原理6、以…

SpringCloud-9、Sleuth+Zipkin

先吐槽下csdn&#xff0c;编辑器不知道怎么回事&#xff0c;快捷键一下就没有&#xff0c;现在用起来糟心 --- - 这些都用不了&#xff0c;求帮助。 基本介绍 Sleuth:分布式服务跟踪组件 /ZipKin Sleuth/ZipKin-搭建链路监控实例 官网&#xff1a;GitHub - spring-cloud/s…

【移动端网页布局】移动端网页布局基础概念 ⑦ ( 在 PhotoShop 中使用 Cutterman 切二倍图 | 使用二倍图作为背景图像 )

文章目录 一、在 PhotoShop 中使用 Cutterman 切二倍图二、使用二倍图作为背景图像 一、在 PhotoShop 中使用 Cutterman 切二倍图 参考 【CSS】PhotoShop 切图 ③ ( PhotoShop 切图插件 - Cutterman | 下载、安装、启动、注册、登录 Cutterman - 切图神奇 插件 | 使用插件进行切…

selenium应用之抓取b站黑马视频目录建立学习计划Excel

需求故事&#xff1a; 最近时间一下子多了起来&#xff0c;用来学习Java是最合适不过了&#xff0c;但是去b站看视频难免会没有自制力&#xff0c;于是决定用selenium来抓取b站黑马Java视频的目录创建一个学习计划的Excel&#xff0c;便于进行学习进度的管理。 注&#xff1a;纯…

【无模型自适应】基于紧格式动态线性化的无模型自适应控制matlab代码

例题来源&#xff1a;侯忠生教授的《无模型自适应控制&#xff1a;理论与应用》&#xff08;2013年科学出版社&#xff09;。 对应书本 4.2 单输入单输出系统(SISO)紧格式动态线性化(CFDL)的无模型自适应控制(MFAC) 例题4.1 题目要求 matlab代码 clc; clear all;%% 期望轨迹…

【opencv】图像数字化——矩阵的运算( 5 乘法运算)

5 乘法运算 5.1使用“*”运算符 对于Mat对象的乘法&#xff0c;两个Mat只能同时是float或者double类型&#xff0c;对于其它数据类型的矩阵乘法会报错src1的列数等于src2的行数mn * npmp #include <opencv2/core/core.hpp> #include<iostream> using namesp…

Android程序员向音视频进阶,有前景吗

随着移动互联网的普及和发展&#xff0c;Android开发成为了很多人的就业选择&#xff0c;希望在这个行业能获得自己的一席之地。然而&#xff0c;随着时间的推移&#xff0c;越来越多的人进入到了Android开发行业&#xff0c;就导致目前Android开发的工作越来越难找&#xff0c…

【博学谷学习记录】超强总结,用心分享 | 架构师 MinIO学习总结

文章目录 MinIO对象存储的概念计算机数据存储系统-架构模式对象存储的优势常见的对象存储系统/服务&#xff08;Object Storage Service&#xff0c;OSS&#xff09; MinIO简介特点高级特性小结 MinIO部署基于 linux Binary 部署 MinIO ServerMinIO数据组织结构MinIO Client**基…

【论文精读】Emergent Abilities of Large Language Models

1. Emergence 涌现&#xff08;emergence&#xff09;或称创发、突现、呈展、演生&#xff0c;是一种现象&#xff0c;为许多小实体相互作用后产生了大实体&#xff0c;而这个大实体展现了组成它的小实体所不具有的特性。 水分子聚集后组成了雪花是一个物理上的创发现象 扩大&…

C++ 类和对象(上)

类 面向对象的三大特性&#xff1a;封装&#xff0c;继承&#xff0c;多态 C语言结构体中只能定义变量&#xff0c;在C中&#xff0c;结构体内不仅可以定义变量&#xff0c;也可以定义函数。比如&#xff1a; 之前在数据结构初阶中&#xff0c;用C语言方式实现的栈&#xff0c;…

springboot入门和yaml数据格式和读取yaml型数据和多环境配置和命令行启动参数设置

springboot入门 搞掉了手动的spring&#xff0c;mybatis&#xff0c;springmvc配置类&#xff0c;只需要创建一个控制类即可 控制类&#xff1a; package com.itjh.controller;import org.springframework.web.bind.annotation.*;RestController RequestMapping("/book…

KDYZ-YM压敏电阻测试仪

一、概述 晶闸管的伏安特性是晶闸管的基本特性&#xff0c;这项特性的好坏&#xff0c;直接影响到器件在整机上的正常使用。因此&#xff0c;检测晶闸管的伏安特性在晶闸管器件的生产、经销及使用过程中都是十分重要的。 该测试仪的测试方法符合国标JB/T7624-94《整流二极管测试…