|防守日记|一封钓鱼邮件,竟意外揪出境外著名黑产组织( 三 )
总结从最开始的“攻击队”的误判 , 到最后将黑产组织“捉拿归案” , 我们不断地进行“大胆猜测、小心求证” 。 回溯本次防守上分过程如下:
- PRS-NTA收到告警 , 根据告警信息搜索对应IP的历史攻击记录
- 判断该IP大概率为红队成员“肉鸡” , 解析IP相关的域名 , 对该IP做持续重点监控
- 收到该IP的曾用域名发来带有附件文件的邮件 , 告知所有公司人员不要点击该附件内容的同时将文件放入大圣云沙箱检测分析
- 域名解析后显示域名注册自海外 , 猜测本次攻击者并非红队 , 而是来自海外APT团队
- 查询历史告警日志 , 发现去年收到一封来自同一域名的钓鱼邮件
- 对去年的邮件附件文件进行分析 , 提取出shellcode文件
- 【|防守日记|一封钓鱼邮件,竟意外揪出境外著名黑产组织】从样本代码的行为及结构特征判断出与海外某黑产组织的关联性 , 溯源成功
- 翡翠|翡翠日记:从石头蜕变成“美人鱼”(下)
- |矿工日记21-9-22矿工的真实收益是变现的那一刻才最终确定,淡定
- 穿衣搭配|我的职场舔狗日记
- 热火队|全场正负值最低!热火遭淘汰,防守悍将退步明显,球迷:他想钓鱼
- 放学后的海堤日记|?《放学后的海堤日记》,钓鱼女孩,成立了一个钓鱼俱乐部
- 饵料|钓鱼就是“战争”,钓鲤鱼要防守,钓草鱼需进攻,好多人都弄错了