文章总结： 这篇文章描述了一起社工钓鱼攻击导致企业员工电脑中毒的应急响应案例。攻击者通过伪造企业账户诱导员工下载并运行木马程序，该程序会设置计划任务和注册表自启动后门。文章详细介绍了应急响应过程，包括阻断、分析、清除和加固四个阶段。文章最后提出了加强员工安全意识培训、完善安全体系建设和建设企业安全文化等建议，以防止类似事件再次发生。 综合评分： 87 文章分类： 应急响应,社会工程学,安全意识,恶意软件,安全培训

社工钓鱼——应急响应

原创

界|晓

黑域之路

2025年5月31日 16:37 广东

一起社工钓鱼事件，人员安全意识较弱，导致电脑中毒。

——前言

#

阅读声明：纯技术分享，文章仅供参考，文中的知识或工具仅限于读者对自己所负责的网站、服务器等进行学习研究和授权测试，严禁用于一切未授权测试和非法测试，否则产生的一切后果自行承担，与本文作者无关！！！

0x00 响应

1.事件

    多位对外宣发的运营工作者，在社交工具上遭受攻击者伪造的企业账户进行钓鱼攻击，受害者没有对对方身份和事件进行二次确定，盲目的接受攻击者的指引进行高危操作，最终导致电脑被成功植入木马加载器。

2.信息收集

• 受害机有安装商业版杀毒软件，EDR等安全防护软件；
• 还没有异常远控行为，和信息收集痕迹；
• 安全设备没有存在横向渗透告警，即恶意程序没有进行横向传播行为。

0x01 阻断

1.网络处理

    通过响应信息，可以确定此次事件为社工钓鱼事件，受害机为运营人员日常办公机子，确保防止敏感数据丢失或泄露，直接对受害机进行断网处理。

2.传播控制

• 对受害机网卡进行禁用。
• 对社工钓鱼行为马上进行安全公告，通知相关人员，防止出现受害者。
• 对相关域名进行封禁处理。

0x02 分析

时间：15:49，有相关人员收到客户信息，反馈截图问题，这里这位同事安全意识较强，怀疑自己被人假冒，让客户不要点击访问可疑链接，并找运维同事排查

#

同一时间，敏感性人员收到伪造的运营人员的钓鱼信息，如下图

运营同事的伪造账户多了“Z”后缀，如下图

这里我们已经进行内部通知，防止更多人员被钓鱼

并对URL和域名进行阻断，以下为url阻断后截图

通过安全设备对钓鱼链接访问行为进行溯源，到时间：15:53，已有一位运营人员被钓鱼，并运行木马加载器程序，

病毒程序运行时间：15:50:01

安排安全人员立即对客服终端进行排查，和断网处理

钓鱼页面是个前端静态页的商户后台管理系统

登录后，点击模块会诱导使用者进行下载“木马加载器”，即病毒程序

下载链接有多个：

https://down[.]okpaycn[.]com/ToolInstaller-Vpn.zip

https://down[.]letskcvpn[.]com/ToolInstaller-Vpn.zip

木马下载时间：15:49

解压时间：15:50

运行“木马加载器”，时间：15:51

病毒程序运行时，不会有任何窗口和弹框，只是后台程序，偷偷释放木马文件，并设置后门

后门一、计划任务后门，文件目录：C:\Users\admin\3e0i20ii.cab

后门二、注册表自启动后门

备份后门文件目录：C:\Users\admin\AppData\Roaming\0D9AD870-7BD6-4BDB-9F84-372925F29698

木马分析情况：

病毒扫描，63个杀毒引擎，只有两个杀毒引擎报毒

动态扫描：在线沙箱判定为恶意文件

时间释放路径

0x03 清除

1.结束病毒程序进程；

2.删除整个病毒目录；

3.删除病毒调用计划任务；

4.删除病毒调用注册表。

0x04 加固

1.对人员进行安全意识培训和安全办公准则督导；

2.加强安全体系对钓鱼链接信誉的研判，自动封禁可疑链接；

3.建设企业安全文化，张贴安全标语和分享安全事件案例。

#

***如有侵权，请私聊公众号删文***

——————————END——————————

欢迎关注黑域之路

愿您在信安海洋中有所收获

点赞关注不迷路，添加星标有推送

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑域之路 界|晓《社工钓鱼——应急响应》