CN115643095B - 一种用于公司内部网络安全测试的方法及系统 - Google Patents
一种用于公司内部网络安全测试的方法及系统 Download PDFInfo
- Publication number
- CN115643095B CN115643095B CN202211329040.1A CN202211329040A CN115643095B CN 115643095 B CN115643095 B CN 115643095B CN 202211329040 A CN202211329040 A CN 202211329040A CN 115643095 B CN115643095 B CN 115643095B
- Authority
- CN
- China
- Prior art keywords
- uuid
- binary executable
- executable file
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012360 testing method Methods 0.000 title claims abstract description 27
- 238000000034 method Methods 0.000 title claims abstract description 19
- 238000012544 monitoring process Methods 0.000 claims abstract description 6
- 238000012545 processing Methods 0.000 claims description 2
- 230000006835 compression Effects 0.000 claims 2
- 238000007906 compression Methods 0.000 claims 2
- 230000001419 dependent effect Effects 0.000 abstract description 3
- 238000012549 training Methods 0.000 abstract description 2
- 230000007123 defense Effects 0.000 abstract 1
- 239000007943 implant Substances 0.000 description 3
- 239000000284 extract Substances 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用于公司内部网络安全测试的方法及系统,所述系统包括:二进制可执行文件模块,用于将二进制可执行文件压缩并设置为邮件附件;邮件发送模块,用于将邮件发送至目标邮箱账号;后台分析统计模块,用于监控和接收DNS请求,识别并解析DNS请求中的UUID,查询目标邮箱账号。二进制可执行文件模块、邮件发送模块、后台分析统计模块,三个模块相互配合依赖,采用二进制附件进行钓鱼,并自动识别对应到点击人员的邮箱账号,准确发现存在安全意识薄弱的企业人员对其进行安全意识培训,提升企业人员安全意识,从而加固企业的整体安全防线,加强企业的安全管理。
Description
技术领域
本发明涉及信息安全领域,尤其是涉及一种用于公司内部网络安全测试的方法及系统。
背景技术
网络钓鱼(Phishing)攻击者利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。公司为了防止泄露机密,大都会在公司内部进行安全测试,目前多数钓鱼演练支撑系统或软件可以实现网页钓鱼,并自动识别点击网页中钓鱼链接的邮箱账号,这种钓鱼邮件的样式,大多是在邮件正文中嵌入钓鱼链接,钓鱼链接中包含有与当前接受钓鱼邮件邮箱账号一一对应的唯一ID,被钓鱼对象点击链接后,http请求中包含的唯一ID一并传入后端服务器,后端服务器依据唯一ID关联到邮箱账号及其它相关属性信息。在这种形式下,由于钓鱼邮件本身是文本形式,所以可以使用标签对相关字段进行替换,以达到每封邮件都植入一个唯一ID的目的。
然而,很多带有攻击性的钓鱼测试邮件会采用压缩包中包含可执行二进制文件(如EXE类型)的附件形式进行钓鱼,这就要求我们的钓鱼演练中应当包含对于这种类型的邮件的模拟,然而对于可执行二进制文件,并不能像邮件正文文本一样,直接采用标签替换的方法来植入唯一ID,一是由于其属于二进制数据,不是文本数据,无法直接替换;二是由于即便可以,也将破坏可执行二进制文件的数据结构,从而造成可执行文件在到达钓鱼对象后而不能运行的现象。
中国发明专利名称:一种钓鱼邮件测试服务支撑方法、系统及终端,专利号:CN114499932A,公开了一种钓鱼邮件测试服务支撑方法、系统及终端,涉及数据安全技术领域,根据测试需求信息确定测试用钓鱼邮件,所述钓鱼邮件中携带测试载荷;将所述钓鱼邮件按照目标地址发送给被测试用户;当所述被测试用户接收到所述钓鱼邮件后,如果触发所述钓鱼邮件中的测试载荷,则所述测试载荷对被测试用户信息进行统计。当被测试用户接收到发送的钓鱼邮件后,如果被测试用户触发钓鱼邮件中的测试载荷,则被测试用户的信息则被获取回传并统计。需求测试企业方可以根据统计信息确定出企业中网络安全意识薄弱的人员或部门,从而进行针对性的网络安全教育培训,降低遭受网络安全攻击的风险。该专利采用植入标签替换的方法植入ID,导致破坏二进制文件的数据结构,造成可执行文件在到达钓鱼对象后不能运行。
发明内容
针对现有技术中存在的问题,本发明提供了一种用于公司内部网络安全测试的方法及系统,所述系统本系统包含三个模块,二进制可执行文件模块、邮件发送模块、后台分析统计模块,三个模块相互配合依赖,采用二进制附件进行钓鱼,并自动识别对应到点击人员的邮箱账号,同时规避邮箱服务器及钓鱼终端的安全检查。
本发明采用的技术方案为:
一种用于公司内部网络安全测试的系统,包括
二进制可执行文件模块,用于将二进制可执行文件压缩并设置为邮件附件;
邮件发送模块,用于将邮件发送至目标邮箱账号;
后台分析统计模块,用于监控和接收DNS请求,识别并解析DNS请求中的UUID,查询目标邮箱账号。
一种用于公司内部网络安全测试的方法,包括如下步骤:
二进制可执行文件模块搭建二进制可执行文件,生成压缩文件;
邮件发送模块生成邮件发送模版,将压缩文件发送至目标邮箱账号;
后台分析统计模块接收DNS请求,识别并解析DNS请求中的UUID。
本发明的有益效果为:本发明采用二进制可执行文件进行钓鱼,对钓鱼二进制可执行文件植入唯一的UUID,自动识别对应到点击人员的邮箱账号,用于邮箱服务器及钓鱼终端的安全检查,公司可以内部自检,及时发现安全漏洞,保护公司网络安全。
附图说明
图1本发明一种用于公司内部网络安全测试的方法流程图;
图2本发明整体实施流程示意图。
具体实施方式
下面结合附图与实施例对本发明做进一步说明:为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
本发明提供了一种用于公司内部网络安全测试的系统,本系统包含三个模块,二进制可执行文件模块、邮件发送模块、后台分析统计模块,三个模块相互配合依赖,用于识别对点击人员的邮箱账号;本系统首先将特制的二进制可执行文件进行压缩,作为邮件附件,由邮件发送模块发送到被钓鱼对象,如果被钓鱼对象解压附件,点击二进制可执行文件,则此特制二进制可执行文件发送DNS请求到后台分析统计模块,同时会在客户端打开网页(网页可控)以伪装自己,后台分析统计模块负责将二进制可执行文件发出的DNS请求关联邮件发送模块,并识别到发送时的邮箱账号。
如图1所示,本发明还提供了一种用于公司内部网络安全测试的方法,包括如下步骤:
步骤1、二进制可执行文件模块搭建二进制可执行文件,生成压缩文件,具体包括:
步骤10、根据文案,制作包含特制二进制可执行文件的压缩文件作为邮件附件发送模板并存储;
步骤11、特制二进制文件作为邮件的附件主体,压缩后作为邮件的附件发送到被钓鱼对象;
步骤12、特制二进制可执行文件预置两种行为,一是发送DNS请求到后台分析模块;二是打开预置可控网页;
步骤13、包含含有标记的DNS域名,可设置为目标单位的主域名下的随机子域名并包含标记,以规避目标单位安全设备的检测,防止回连请求被意外阻断;
步骤14、包含有标记的网址地址。
步骤2、邮件发送模块生成邮件发送模版,将压缩文件发送至目标邮箱账号,具体包括:
步骤20、提取一个目标邮箱账号清单的邮箱账号;
步骤21、提取邮件模板中的压缩文件附件;
步骤22、解压压缩附件并提取其中的可执行二进制文件;
步骤23、将可执行二进制文件转码为一种能够与二进制文件数据相对应的编码格式;
步骤24、生产唯一UUID,并将UUID转换为与步骤23中相同的编码;将特制二进制文件中的标记转换为步骤23中相同的编码;
步骤25、将转码后的UUID及转码后的标记替换到转换后的二进制结果文件的相应位置;
步骤26、将处理后的二进制文件数据逆转码为二进制可执行文件;
步骤27、重新打包为压缩文件并生成钓鱼邮件;
步骤28、将步骤24中的UUID与步骤20中的目标账号关联,并入库;
步骤29、将处理后的邮件发送到目标邮箱账号;
步骤3、后台分析统计模块接收DNS请求,识别并解析DNS请求中的UUID,具体包括:
步骤30、监控DNS请求(域名系统);
步骤31、接收DNS请求;
步骤32、识别并解析出DNS请求中的UUID(全局唯一识别),对应特制二进制文件模块中的步骤13,识别并解析目标单位主域名的DNS请求;
步骤33、根据解析出的UUID关联在邮件发送模块中入库的UUID,并据此查询出关联的目标邮箱账号;
步骤34、将此账号标记为已点击执行状态。
如图2所示,本发明实施流程具体包括:
(1)生成邮件发送附件:
a、从模板代码库中选取一个与钓鱼文案相适应的代码工程,模板代码库中包含有go、c、c++语言写的包含有发送DNS请求、打开网页功能两样基础功能的代码工程;
b、将代码中的形如XXXXXXXXXXXXXXXX.demo.com的域名中的主域名demo.com替换为目标企业(客户)的主域名,其中的XXXXXXXXXXXXXXXX为预设的16为标记,也可以是设定的其它字符串;
c、将此代码编译为二进制可执行文件,并压缩作为附件。
(2)发送钓鱼邮件
按照整体流程中确定的钓鱼文案,制作钓鱼邮件模板,将制作的二进制可执行文件作为钓鱼邮件模板中的附件。系统提取待发送目标邮箱账号,然后解压附件,编码二进制可执行文件、生成UUID并编码、替换二进制编码文件中的标记,发送邮件,循环此过程。
(3)统计此次钓鱼行动的结果
系统后端将收到的DNS请求、HTTP请求解析,并提取UUID及请求中其它字段,并将UUID与发送邮件时记录的UUID数据条目做比对,如果存在则相应的标记为点击执行附件或执行打开附件两种状态。
(4)报告案例模板
测试人员根据系统统计结果、整体测试流程、报告模板撰写报告反馈给客户。最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
Claims (5)
1.一种用于公司内部网络安全测试的方法,其特征在于,包括如下步骤:
二进制可执行文件模块搭建二进制可执行文件,生成压缩文件;二进制可执行文件还包括:含有标记的DNS域名,用于规避目标单位安全检查并识别被钓鱼的目标用户的点击二进制可执行文件的事件;含有标记的网址地址,用于识别被钓鱼的目标用户执行了二进制文件并打开了网址而未被目标用户终端上的安全软件阻断的事件;
邮件发送模块生成邮件发送模版,将压缩文件发送至目标邮箱账号,具体为:
提取目标邮箱账号清单的目标邮箱账号;
提取邮件发送模块中的压缩文件附件;
解压压缩附件并提取其中的二进制可执行文件;
将二进制可执行文件转码为与二进制文件数据对应的编码格式;
生成唯一的UUID,将UUID和二进制可执行文件中的标记转换为与二进制可执行文件数据对应的编码格式,同时将 UUID 及目标邮箱账号存入缓存;
替换二进制可执行文件中的域名中的标记为转码后的UUID,替换二进制可执行文件中的网址中的标记为转码后的 UUID;
将数据处理后的二进制可执行文件数据逆转码为二进制可执行文件;
重新打包为压缩文件并生成钓鱼邮件;
关联UUID与目标邮箱账号并保存至数据库;
将处理后的邮件发送至目标邮箱账号;
后台分析统计模块接收DNS请求,识别并解析DNS请求中的UUID,查询目标邮箱账号,若该目标邮箱账号点击执行二进制可执行文件,则将该目标邮箱账号标记为已点击执行状态;
所述后台分析统计模块接收DNS请求,识别并解析DNS请求中的UUID具体包括:
监控和接收DNS请求;
识别并解析DNS请求中的UUID;
将解析出的UUID与邮件发送模块中记入缓存的UUID数据记录进行关联比对;若能从缓存的UUID记录中,查询到解析出的UUID,则将此UUID关联的目标邮箱账号标记为点击执行状态。
2.如权利要求 1 所述的用于公司内部网络安全测试的方法,其特征在于,
二进制可执行文件搭建二进制可执行文件,生成压缩文件包括:
二进制可执行文件用于发送预置的DNS 请求至后台分析统计模块;打开预置网址,网址呈现的内容由后台系统可视化编辑,具体呈现的内容则根据钓鱼文案确定;
二进制可执行文件模块将二进制可执行文件压缩设置为邮件附件。
3.如权利要求 1 所述的用于公司内部网络安全测试的方法,其特征在于, 将解析出的UUID与邮件发送模块中记入缓存的UUID数据记录进行关联比对具体 包括:
监控和接收 HTTP 请求;
识别并解析 HTTP 请求中的 UUID;
将解析出的UUID与邮件发送模块中记入缓存的UUID数据记录进行关联比对; 若能从缓存的 UUID 记录中,查询到解析出的 UUID,则将此 UUID 关联的目标邮箱账号标记为附件被执行并打开网页状态。
4.一种用于公司内部网络安全测试的系统,所述系统适用于权利要求1-3任一项所述的方法,其特征在于,所述系统包括:
二进制可执行文件模块,用于将二进制可执行文件压缩并设置为邮件附件;
邮件发送模块,用于将邮件发送至目标邮箱账号;
后台分析统计模块,用于监控和接收DNS请求,识别并解析DNS请求中的UUID,查询目标邮箱账号,若该目标邮箱账号点击执行二进制可执行文件,则将该目标邮箱账号标记为已点击执行状态。
5.如权利要求4所述的用于公司内部网络安全测试的系统,其特征在于,若钓鱼对象解压附件,并点击二进制可执行文件,则二进制可执行文件模块发送DNS请求至后台分析统计模块,后台分析统计模块用于将二进制可执行文件发送的DNS请求关联邮件发送模块,识别发送时的目标邮箱账号。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211329040.1A CN115643095B (zh) | 2022-10-27 | 2022-10-27 | 一种用于公司内部网络安全测试的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211329040.1A CN115643095B (zh) | 2022-10-27 | 2022-10-27 | 一种用于公司内部网络安全测试的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115643095A CN115643095A (zh) | 2023-01-24 |
CN115643095B true CN115643095B (zh) | 2023-08-29 |
Family
ID=84947107
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211329040.1A Active CN115643095B (zh) | 2022-10-27 | 2022-10-27 | 一种用于公司内部网络安全测试的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115643095B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103778525A (zh) * | 2012-10-24 | 2014-05-07 | 金蝶软件(中国)有限公司 | 邮件附件的处理方法及装置 |
CN108418777A (zh) * | 2017-02-09 | 2018-08-17 | 中国移动通信有限公司研究院 | 一种钓鱼邮件检测方法、装置及系统 |
CN110868378A (zh) * | 2018-12-17 | 2020-03-06 | 北京安天网络安全技术有限公司 | 钓鱼邮件检测方法、装置、电子设备及存储介质 |
CN111092902A (zh) * | 2019-12-26 | 2020-05-01 | 中国科学院信息工程研究所 | 一种面向附件伪装的鱼叉攻击邮件发现方法及装置 |
CN111222856A (zh) * | 2020-01-15 | 2020-06-02 | 深信服科技股份有限公司 | 一种邮件识别方法、装置、设备及存储介质 |
CN111373376A (zh) * | 2017-10-31 | 2020-07-03 | 边缘波有限公司 | 可疑邮件的分析和报告 |
CN111600788A (zh) * | 2020-04-30 | 2020-08-28 | 深信服科技股份有限公司 | 一种鱼叉邮件检测方法、装置、电子设备和存储介质 |
CN113630397A (zh) * | 2021-07-28 | 2021-11-09 | 上海纽盾网安科技有限公司 | 电子邮件安全控制方法、客户端及系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11677783B2 (en) * | 2019-10-25 | 2023-06-13 | Target Brands, Inc. | Analysis of potentially malicious emails |
EP4144063A1 (en) * | 2020-04-29 | 2023-03-08 | Knowbe4, Inc. | Systems and methods for reporting based simulated phishing campaign |
US20210365866A1 (en) * | 2020-05-21 | 2021-11-25 | KnowBe4, Inc. | Systems and methods for use of employee message exchanges for a simulated phishing campaign |
-
2022
- 2022-10-27 CN CN202211329040.1A patent/CN115643095B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103778525A (zh) * | 2012-10-24 | 2014-05-07 | 金蝶软件(中国)有限公司 | 邮件附件的处理方法及装置 |
CN108418777A (zh) * | 2017-02-09 | 2018-08-17 | 中国移动通信有限公司研究院 | 一种钓鱼邮件检测方法、装置及系统 |
CN111373376A (zh) * | 2017-10-31 | 2020-07-03 | 边缘波有限公司 | 可疑邮件的分析和报告 |
CN110868378A (zh) * | 2018-12-17 | 2020-03-06 | 北京安天网络安全技术有限公司 | 钓鱼邮件检测方法、装置、电子设备及存储介质 |
CN111092902A (zh) * | 2019-12-26 | 2020-05-01 | 中国科学院信息工程研究所 | 一种面向附件伪装的鱼叉攻击邮件发现方法及装置 |
CN111222856A (zh) * | 2020-01-15 | 2020-06-02 | 深信服科技股份有限公司 | 一种邮件识别方法、装置、设备及存储介质 |
CN111600788A (zh) * | 2020-04-30 | 2020-08-28 | 深信服科技股份有限公司 | 一种鱼叉邮件检测方法、装置、电子设备和存储介质 |
CN113630397A (zh) * | 2021-07-28 | 2021-11-09 | 上海纽盾网安科技有限公司 | 电子邮件安全控制方法、客户端及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN115643095A (zh) | 2023-01-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8661545B2 (en) | Classifying a message based on fraud indicators | |
US11570211B1 (en) | Detection of phishing attacks using similarity analysis | |
US9521104B2 (en) | Outgoing communications inventory | |
Fu et al. | Detecting phishing web pages with visual similarity assessment based on earth mover's distance (EMD) | |
US8024411B2 (en) | Security classification of E-mail and portions of E-mail in a web E-mail access client using X-header properties | |
US7690035B2 (en) | System and method for preventing fraud of certification information, and recording medium storing program for preventing fraud of certification information | |
CN109039987A (zh) | 一种用户账户登录方法、装置、电子设备和存储介质 | |
CN1703868A (zh) | 用于认证电子邮件的方法和装置 | |
Stringhini et al. | The harvester, the botmaster, and the spammer: On the relations between the different actors in the spam landscape | |
JP2013137740A (ja) | 機密情報識別方法、情報処理装置、およびプログラム | |
KR20190019067A (ko) | 정보 유출 검출 방법 및 장치, 서버 및 컴퓨터 판독가능 저장 매체 | |
CN108629637A (zh) | 电子发票处理系统和电子发票处理方法 | |
US20220253526A1 (en) | Incremental updates to malware detection models | |
CN110311886A (zh) | 服务器漏洞检测方法、装置、设备和存储介质 | |
CN111147489A (zh) | 一种面向链接伪装的鱼叉攻击邮件发现方法及装置 | |
CN105306467A (zh) | 网页数据篡改的分析方法及装置 | |
CN101227451A (zh) | 通过Web表单获得用户交互数据的方法及系统 | |
CN113704328A (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
Haupt et al. | Robust identification of email tracking: A machine learning approach | |
CN115134147A (zh) | 电子邮件检测方法及装置 | |
CN115643095B (zh) | 一种用于公司内部网络安全测试的方法及系统 | |
Gallo et al. | Identifying threats in a large company's inbox | |
Barrientos et al. | Scaling the phish: Advancing the NIST phish scale | |
CN115801240A (zh) | 一种终端设备指纹生成方法及装置 | |
CN113992390A (zh) | 一种钓鱼网站的检测方法及装置、存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CB03 | Change of inventor or designer information |
Inventor after: Zhao Ziwen Inventor after: Yan Jiwen Inventor after: Lv Xuyin Inventor after: Cui Xiaoxin Inventor after: Cao Rui Inventor before: Zhao Ziwen Inventor before: Liu Jie Inventor before: Yan Jiwen Inventor before: Lv Xuyin Inventor before: Cui Xiaoxin Inventor before: Cao Rui |