【应急响应篇】钓鱼邮件应急响应指南
1.如何判断一个网站是钓鱼网站
1、检查其域名
检查是否是伪造的相似域名或者和访问服务完全不相关的域名
例如,如果你收到一封电子邮件,要求你登录到 “paypal.com
”,但是但该链接将你带到类似于 “paypal-update.com
”,这可能不是PayPal的真实网站
2、URL信誉检查在线工具
3、不完美的钓鱼文案,有错别字或语法错误
4、基于域名whois信息,大部分的域名whois的信息乱填的,还有少部分钓鱼网站域名whois信息和被钓正规网站相似
5、网站备案识别,查看备案信息是否与正常网站信息一致
2.处置流程
1、先将受害主机进行断网关机处理,如果有主机安全管理设备,先对所有主机资产进行病毒查杀
2、通过查看邮件原文,查看发件人的IP地址,在威胁情报系统上进行查询,扩大信息收集面
3、上机排查:
Netstat -ano
(windows)/netstat -antpleu
(linux),查询外联- 记录有问题的进程PID,使用
tasklist
(windows)/ps aux | grep pid
(linux),定位到进程 - 查看进程对应的文件路径,
wmic process get 进程名称
(windows),processid|findstr PID
(linux) - 针对的杀进程,
taskkill /F
(windows),kill -9
(linux)