应急响应-钓鱼邮件的处理思路溯源及其反制

0x00 钓鱼邮件的危害

1.窃取用户敏感信息，制作虚假网址，诱导用户输入敏感的账户信息后记录
2.携带病毒木马程序，诱导安装，使电脑中病毒木马等
3.挖矿病毒的传输，勒索病毒的传输等等

0x01 有指纹的钓鱼邮件的溯源处理

从邮件中获取相关的信息
1.发件人地址：是否是代发邮件，一般来讲代发邮件的域名与主域名一致，如不一致，谨防钓鱼

2.发件内容的研判
根据内容的诱导性判断是否为可以的邮件，以及内容中设计到的一些信息，二维码等，留存提取出ip，域名邮件等地址，留作后续的溯源处理
3.发件附件的处置
内容会指引诱导你点击某些网址，或者下载某些程序文件，将相关样本可以在沙箱运行后尝试得到一些攻击者的服务器等基础设施的信息，留作溯源用
4.邮件的详情查看，获取域名，对方基础设施信息，ip等信息
下面为正常的邮件，可以看到对方的邮箱地址，cms信息，其他邮件可能会获取到邮件头信息，
例如X-Mailer：gophish 则为gophish搭建的钓鱼平台，可以做该平台作反制相关操作，对方是否使用默认的搭建方式？默认端口服务，是否架设有其他服务，框架是否存在漏洞等，将收集到的信息留作溯源信息收集。

借助一张网上的邮件信息作为对比

5.沙箱运行样本文件，从中提取相关域名ip信息

0x02 无指纹的邮件处置

1.在线邮箱子域名爆破，进行下一步的信息收集
2.邮箱社工，获取到的邮箱ID昵称等，在网络上大范围的溯源

0x03 钓鱼邮件的应急处理

1.邮件上报安全组，管理员部门，防止危害扩散
2.处理已受钓鱼危害的机器员工
3.屏蔽办公区对该钓鱼邮件的站点域名，协助应急专家组协调处置
4.客户主机全盘查杀
5.假期钓鱼邮件宣讲防范意识