What聊天作为日常亲友沟通,工作交流的主要方式之一,在用户的潜意识中,往往不会对微信好友时刻保持警惕性,这就给了微信钓鱼攻击者可乘之机,攻击者为了获取目标信任,往往会进行身份伪装。
常见的被伪装身份包括求职人员,第三方服务商,更换对接人员的客户,猎头等,通过看似合理的述求来添加目标微信,一旦攻击者的微信好友申请被通过,攻击者往往只需要一个病毒附件就可轻易发起攻击。
默认标题__2022-10-19 22_32_34.png
当目标打开附件时,病毒攻击随之进行,导致电脑数据被窃取,或被利用作为跳板,对企业内部系统或网络进行攻击渗透。针对各种各样的社工攻击,我们除了教育,提醒用户时刻注意微信安全以外,技术上我们也需要考虑一些相应的手段来进行补充。
image.png
考虑到各家企业环境不同,设备人员,流程处置方案均存在一定的差异,我这里仅抛砖引玉提出攻击防护思路,各企业人员应当根据自家环境情况进行适配和调整,不代表本方案的绝对可行性。
闲话短说,我们先需要关注的是网络传输方案,有些网络防火墙本身就具备监控文件传输的能力,且拥有沙盒校验的能力,那么就可以通过网络防火墙监控文件的传输。通常情况下,这类防火墙会对传输的文件还原后进行哈希校验,如果发现该哈希在其数据库中不存在,则定义为新文件,并提交其关联的文件沙箱进行检测;如果该哈希是已知文件,在上述检测中如果是良性标签,则会放行通过,如果是恶性标签,则会中断传输,防止文件落地。
image.png
如果企业中并没有具备拥有该种能力的防火墙设备,那么文件的落地后检测则是下一步的主要防护行动,通过微信传输的文件种类繁多,有以PDF,DOC等为主的文档文件;有工具类,软件类等各种可执行文件,比如EXE/MSI,以及恶意文件,比如SCR/LNK/VBS等;当然,最多的还是各种压缩包文件,常以ZIP/7Z/RAR/ISO为主的加密或者非加密文件;甚至,有的攻击者会直接传输伪造的双扩展名文件,诸如.DOCX.EXE,.ZIP.EXE等等。
