最近有官衙门客户收到瞄一眼就知道是钓鱼信的低级诈骗信,里面的附件应该是有针对性的APT,虽说是低级诈骗信,但user习惯把自己当笨蛋,然后叫比他还笨的电脑帮他判断,请提醒一下使用者(尤其是敏感单位的客户),善用自己的判断力,慎防中奖....
2 个回答
1
zivzhong
iT邦研究生 4 级 ‧ 2025-01-21 11:28:37
看到 hotmail.com ><
大家要自细看信~~
1
mytiny
iT邦超人 1 级 ‧ 2025-01-22 00:59:13
能注意到可疑的信件确实很重要
但人性总是会自我欺骗而疏漏
资安系统的防护就是需要补足这些缺憾
但是这种资安漏洞其实是一连串的疏失所造成
由于email系统现在走加密通信居多
採用smtps pop3s imaps 等加密通讯
网页也走 https 加密通讯
NGFW若未做凭证解密以检核内容
基本上是失去其功效的
如楼主所展示用virustotal所检测到的病毒
其实多数都已经是无用威胁
试想有哪个APT的威胁是想被防毒可以检测到的呢?
难道APT就不会先试试virustotal会不会被发现?
用AI撰写未被发现的病毒码或加密隐藏实在太容易
仅靠防毒码比对这一招实在是不够用的
因此,从防火墙大门到主机储存,再到转发至client端
再经过内网无阻隔的横向移动,再到穿过防火墙回报BOT、C2
每一关都有相对应的资安机制,但也每一关都有资安疏失
这到底是哪一关没有防护到,
以致最后要靠人脑这最不可靠的来做判断呢?
提供给资安防护MIS来思考
-
3 -
-
cmwang
iT邦大师 1 级 ‧
2025-01-22 10:45:36
这么说好了,恶意程式的侦测/反侦测其实是个非常专业的领域,鹅之前看过某部标案的规格要求要建置能模拟该部所有资讯系统版本环境的沙箱(意思就是所有信件都要先丢进去,看打开之后有没有异常行为),问题是这个要求的可行性到底有多高,即便可行,如果每封信进去之后要一小时才会出来,那使用者能不能接受还是另一回事吧....
修改
mytiny
iT邦超人 1 级 ‧
2025-01-23 21:09:20
所以才不能只靠防毒呀
防火墙是门户,解凭证扫描更重要
修改
cmwang
iT邦大师 1 级 ‧
2025-01-23 21:54:57
解SSL/TLS在这年头应该是基本须求吧,但对藏的很好的APT而言,就算你解完SSL/TLS丢给antivius/APT gateway扫,也未必扫得出来喔----那个档一开始是只被一套antivirus和两套沙箱标示出来,现在则是三套antivirus和三套沙箱列为恶意档案,应该算符合藏的很好的定义了....
修改