微信聊天作为日常亲友沟通，工作交流的主要方式之一，在用户的潜意识中，往往不会对微信好友时刻保持
警惕性这就给了微信钓鱼攻击者可乘之机，攻击者为了获取目标信任，往往会进行身份伪装。

常见的被伪装身份包括求职人员，第三方服务商，更换对接人员的客户，猎头等，通过看似合理的述求来添加
目标微信一旦攻击者的微信好友申请被通过，攻击者往往只需要一个病毒附件就可轻易发起攻击。

当目标打开附件时，病毒攻击随之进行，导致电脑数据被窃取，或被利用作为跳板，对企业内部系统或
网络进行攻击渗透针对各种各样的社工攻击，我们除了教育，提醒用户时刻注意微信安全以外技术上我
们也需要考虑一些相应的手段来进行补充。


考虑到各家企业环境不同，设备人员，流程处置方案均存在一定的差异，我这里仅抛砖引玉提出攻击防护思路
各企业人员应当根据自家环境情况进行适配和调整，不代表本方案的绝对可行性。

闲话短说，我们先需要关注的是网络传输方案，有些网络防火墙本身就具备监控文件传输的能力，且拥有沙盒校验的能力
那么就可以通过网络防火墙监控文件的传输。通常情况下，这类防火墙会对传输的文件还原后进行哈希校验，如果发现该
哈希在其数据库中不存在，则定义为新文件，并提交其关联的文件沙箱进行检测；如果该哈希是已知文件，在上述检测中
如果是良性标签，则会放行通过，如果是恶性标签，则会中断传输，防止文件落地。


如果企业中并没有具备拥有该种能力的防火墙设备，那么文件的落地后检测则是下一步的主要防护行动，通过微信传输的文
件种类繁多，有以PDF，DOC等为主的文档文件；有工具类，软件类等各种可执行文件，比如EXE/MSI，以及恶意文件比如
SCR/LNK/VBS等；当然，最多的还是各种压缩包文件，常以ZIP/7Z/RAR/ISO为主的加密或者非加密文件；甚至，有的攻击
者会直接传输伪造的双扩展名文件，诸如.DOCX.EXE，.ZIP.EXE等等。


准备

文件落地的监控，我们需要依赖于SYSMON或者其他EDR系统来进行，本文为了统一性，仅采用SYSMON作为阐述的工具
在这里，我们就需要利用到SYSMON的事件来进行监控，在Sysmon事件ID 11 (FileCreate)中，当创建或覆盖文件时会记
录文件的创建和创建文件的进程的信息。这个事件对于监视启动文件夹、临时目录和下载目录等位置非常重要，这些位置
通常是恶意软件在初始感染期间放置的地方。（关于具体如何使用SYSMON，本文不再赘述，请自行查阅相关文档）为了
针对微信文件传输进行监控，我们还需要在配置文件中添加监控标签，因为微信存储在WINDOWS中的路径由用户属性组
成所以，这里仅需记录“wxid_”就已经足够。


当发起文件传输的时候，SYSMON就会记录该文件创建事件


值得注意的是：如果系统中存在反病毒或者EDR的微过滤驱动，且拥有更小的Altitude值时并且它检
测到恶意文件并阻止其写入磁盘后，SYSMON将不会再记录该事件。


文件创建事件写入日志后，如果具备大型日志平台的企业，可以通过日志收集工具将主机端的SYSMON日志通
过SYSLOG的方式传输到后台日志平台，比如ELK和SPLUNK等，拥有日志平台的企业就可以通过自定义查询实
现更进一步的筛查和跟进。


检测

我们这里假定企业暂时不具备集中化的日志管理平台，可以通过使用Powershell语句查询
SYSMOM关联日志，比如：

Get-WinEvent -LogName 'Microsoft-Windows-Sysmon/Operational' -FilterXPath "*[System[(EventID=11)]]"
-Oldest -MaxEvents 10 | Select-Object TimeCreated, ID, ProviderName, LevelDisplayName, Message | whe
re message -match 'wxid_' | Format-List


如上所述，SYSMON的文件创建事件并不具备获取文件哈希的能力，所以我们还需要自行获取文件的哈希

Get-FileHash "C:\Users\XXX\WeChat Files\wxid_XXXX\FileStorage\MsgAttach\820e7XXXXX
XXXXfe490\File\2022-10\简历.zip"


提取到文件哈希后，我们可以提交到VirusTotal或者其他的威胁检测平台进行哈希扫描，从而获得初步的文件标签信息
或者将该文件通过API提交给VT或者内部自建的沙箱平台进行检测，如果该文件为压缩包文件，且设置了密码加密的文
件取决于企业的不同的安全策略，可以针对性的实施包括工单报警，人工检查，或者直接删除等操作。


如果我们依然不具备集中管控平台，也没有办法进行日志集中化采集，其实我们也可以考虑在本地进行采集过滤和
提交，利用Windows本身自带的任务计划程序，我们亦可以通过触发SYSMON的文件写入条件来执行Powershell
或者其他脚本命令，后续大家可以执行扩展一下。


隔离

文件沙箱检测的结果通过API返回到工单系统后，根据结果来进行下一步的操作，沙箱检测可能会占据一定量的时间片
从文件传输落地到文件检测结束，中间可能存在一定的DWELL时间（从失陷到检出时长），所以如果该结果为恶意那
么最佳实践操作就是对该主机实施隔离操作，并重置该账号密码。


处置

既然检测出来是恶意攻击行为，再隔离主机后，我们就要开始着手进行相关溯源工作，确定该事件的类型，形态甚至引入
到特定的蜜罐进行调查工作。特别需要强调的是，由于SYSMON的版本更新，SYSMON具备了一个非常强大的功能，即
能对文件的写入和执行进行拦截，我们可以利用这点对伪造文件实施阻拦策略，禁止文件落地。


而针对压缩包文件，或者说用户习惯性的双击执行压缩包中的可执行文件，这点，我们可以通过组策略来进行
限制具体操作方法请参考我其他文章，这里也不再赘述了。


恢复

恢复环节已经是处于工单的闭环环节，在清查完毕持久化后就可以交付主机给回用户了。


提升

必要的，长期的，反复的用户教育是必须的，从用户角度而言，真的很难防范各种专业的高科技和狠活用户
的安全意识提升依然还是很重要的一块，防范于未然。而对于技术防守方来说，我们也需要重新审查各个环
节复盘整个技术推敲链，看看是否还有其他可以提升的地方。

自动化

企业体量达到一定程度，微信用户数量也必然是爆炸性增长，文件传输的总量肯定也不少企业也可
以有效利用SOAR平台进行全程自动化操作。


总结

靠人工实现的检测流程是繁琐的，自动化流程在整个方案过程中能起到锦上添花的作用，也能大幅度降低重复性的工作
但也并不是说一定要有SOAR才可以对微信社工攻击进行防范。我们在不具备完整自动化平台的情况下，利用SYSMON
+Powershell+TaskSchedule+反病毒沙箱已经可以很大程度上实现本文所说的攻击防护，能有效地减小和缓解微信社
工攻击所带来的危害。