從希拉里郵件門到美國大選通俄門等一系列的安全事件相味，黑客們精心設(shè)計(jì)的釣魚郵件尼酿，起到的作用難以想象爷狈。

釣魚郵件，雖然聽起來很不起眼裳擎，但是作用和效果非常之大涎永，危害及其嚴(yán)重，只有你是社會(huì)的一份子，在社會(huì)上交流羡微、生活就有可能會(huì)被盯上的谷饿。

在移動(dòng)互聯(lián)網(wǎng)時(shí)代，催生了各種技術(shù)和新的交流方式妈倔，其中電子郵件就是其中非常重要的一份子博投，我們可以借助電子郵件進(jìn)行商務(wù)活動(dòng)，交友盯蝴、聊天毅哗、溝通等社會(huì)活動(dòng)，在今天很多人的銀行對賬單網(wǎng)購交易確認(rèn)單捧挺、帳號密碼重置等都是使用郵件進(jìn)行活動(dòng)虑绵。這對于郵件釣魚提供了基礎(chǔ)和環(huán)境。

釣魚郵件因此成為APT攻擊的重要手法之一,隱藏在電子郵件中的附件中或者url鏈接中,在一定條件下激活,進(jìn)行破壞和傳播,輕則占用資源闽烙、破壞計(jì)算機(jī)系統(tǒng)部分功能,重則導(dǎo)致重要數(shù)據(jù)丟失翅睛、竊取機(jī)密信息,帶來巨大的經(jīng)濟(jì)損失。
今天來簡單說說如何對安全設(shè)備檢測到的釣魚郵件進(jìn)行二次分析和有效處理黑竞。

有效內(nèi)容提取

拿到一封可疑釣魚郵件宏所，獲取郵件里面的數(shù)據(jù)，并對數(shù)據(jù)有效整理和提取

• 發(fā)件人郵箱
• 發(fā)件人IP地址
• 收件人郵箱
• 收件人IP地址
• 郵件附件名稱
• 解析郵件頭信息
• 內(nèi)容中的URL鏈接
  摊溶。爬骤。。莫换。霞玄。。

信譽(yù)度分析

在進(jìn)行可疑釣魚郵件判斷是否是惡意郵件拉岁，可以通過威脅情報(bào)的信譽(yù)度坷剧、文件信譽(yù)度等進(jìn)行綜合打分評判，通過多種檢測手段對可疑郵件進(jìn)行加權(quán)打分喊暖，判斷是否是惡意郵件惫企。

1. 威脅情報(bào)
   開源威脅情報(bào)目前比較多，筆者經(jīng)常使用的威脅情報(bào)網(wǎng)站是threatfeeds.io陵叽，該網(wǎng)站情報(bào)不僅免費(fèi)而且更新非衬快。
   通過開源威脅情報(bào)巩掺，對郵件中的郵箱和IP地址進(jìn)行有效碰撞偏序，通過情報(bào)的信譽(yù)值，判斷該IP地址是惡意IP的可信度胖替。
2. 文件信譽(yù)度
   對郵件的附件通過沙箱模擬真實(shí)主機(jī)的操作研儒，并對文件操作豫缨、注冊表操作，網(wǎng)絡(luò)行為等進(jìn)行綜合判斷
3. URL信譽(yù)度
   URL的信譽(yù)度端朵，有兩種方法好芭，可以使用情報(bào)域名進(jìn)行分析〕迥兀或者使用白名單信譽(yù)庫進(jìn)行綜合評判栓撞。

通過對可疑郵件的信譽(yù)度分析，判斷文件可疑郵件是否是惡意碗硬，如果分?jǐn)?shù)較低瓤湘，關(guān)閉任務(wù)。如果分?jǐn)?shù)較高恩尾，繼續(xù)通過數(shù)據(jù)關(guān)聯(lián)分析進(jìn)一步判斷

關(guān)聯(lián)分析

通過以上信譽(yù)度分析判斷可疑釣魚郵件是惡意的可能性后弛说，通過歷史數(shù)據(jù)和家族數(shù)據(jù)對其關(guān)聯(lián)分析，形成知識(shí)圖譜翰意，還原攻擊場景木人。

1. 攻擊組織判斷
   通過對文件、URL和情報(bào)分析后冀偶，基本能夠得到惡意代碼的機(jī)構(gòu)和代碼邏輯醒第，能夠知曉C&C架構(gòu)結(jié)構(gòu)。對歷史樣本進(jìn)行惡意代碼對面进鸠、活動(dòng)時(shí)間等判斷其攻擊組織和家族稠曼。
2. 溯源分析
   通過whois信息和PDNS數(shù)據(jù)進(jìn)行交互式分析，繪制攻擊的圖譜客年，溯源攻擊者相關(guān)參與者霞幅。

網(wǎng)絡(luò)安全監(jiān)測

1. 立刻行動(dòng)
   對惡意郵件進(jìn)行分析，確定是帶有惡意攻擊的釣魚郵件后量瓜，立刻行動(dòng)通知用戶移除釣魚郵件司恳。
2. 流量監(jiān)測
   通過流量監(jiān)測，發(fā)現(xiàn)可疑的URL外聯(lián)通訊绍傲，及時(shí)進(jìn)行阻斷扔傅，消除風(fēng)險(xiǎn)。
3. 終端檢測
   通過終端主機(jī)的日志烫饼，判斷釣魚郵件的附件是否運(yùn)行猎塞，從而通過本地日志信息判斷該釣魚郵件風(fēng)險(xiǎn)。

最后的話

對釣魚郵件的檢測枫弟，并不是一種設(shè)備能夠檢測和發(fā)現(xiàn)的邢享。需要通過多種手段和方法多管齊下鹏往。盡可能收集更多的日志淡诗，不限于主機(jī)日志骇塘、網(wǎng)絡(luò)日志、文件等韩容。并結(jié)合開源威脅情報(bào)款违，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的安全。