文｜騰訊藍(lán)軍 jumbo

紅藍(lán)對(duì)抗越加普遍及重要，甚至成為了大型賽事，隨之?來的是防守方大量部署安全設(shè)備，如FW、WAF、IDS、IPS等，想要從Web端深?到對(duì)?內(nèi)?已經(jīng)困難重重。但是，?永遠(yuǎn)是最?的弱點(diǎn)，在日漸增多的防護(hù)設(shè)備?前，釣?攻擊（Phishing）已經(jīng)成為對(duì)抗中?種必不可少且非常有效的攻擊?法（近期也見到實(shí)際攻擊中針對(duì)HR的郵件釣魚攻擊），一旦有人中招，攻擊隊(duì)就直接能進(jìn)?目標(biāo)辦公?，這也是釣?的魅?之?。其實(shí)釣魚攻擊也一直是APT高級(jí)持續(xù)威脅的主要打點(diǎn)手段，網(wǎng)絡(luò)上公開的APT攻擊案例中超過80%都使用釣魚攻擊。

本?將以騰訊藍(lán)軍真實(shí)項(xiàng)?中的一部分細(xì)節(jié)為?家介紹?些釣??段和釣?話術(shù)。

Part 1. 釣魚手段

1.1 lnk

lnk?件，簡(jiǎn)單理解為快捷?式，創(chuàng)建?式如下：

下圖為calc.exe的快捷?式的屬性信息，我們可以在“?標(biāo)”欄寫???的惡意命令，如powershell上線命令：

?在實(shí)施釣?過程中，對(duì)于我們的calc.exe的快捷?式來說，?個(gè)??的計(jì)算機(jī)ico圖標(biāo)，顯然看起來不像?個(gè)好玩意，因此可以嘗試在“屬性”中去更改該?件的圖標(biāo)：

但是?系統(tǒng)?帶的ico去做?件圖標(biāo)替換的話，有個(gè)弊端，即當(dāng)替換的ico在?標(biāo)機(jī)器上不存在時(shí)，就會(huì)出現(xiàn)類似空?ico圖標(biāo)：

根據(jù)crazyman師傅所說，修改lnk的icon_location標(biāo)志位，修改為相關(guān)后綴，系統(tǒng)即可?動(dòng)聯(lián)想到對(duì)應(yīng)的打開?式：

?如我的pdf默認(rèn)是由edge瀏覽器打開，則在icon_location中設(shè)置為pdf后綴時(shí)，?件的ico也會(huì)自動(dòng)顯示為edge瀏覽器打開的圖標(biāo)， 這樣可以達(dá)到?適配的效果：

當(dāng)受害者中招打開我們的所謂的pdf，實(shí)則為惡意的快捷?式時(shí)，雙擊兩下，什么反應(yīng)都沒有，可能會(huì)有?絲疑惑，因此可以當(dāng)嘗試?powershell、mshta等?式上線時(shí)，我們可以更改如cobaltstrike?成的代碼，加上?段?動(dòng)下載打開?份真的pdf，來達(dá)到逼真的效果。

下?的動(dòng)圖，展示了打開?個(gè)快捷?式釣??件時(shí)，逼真的打開了真實(shí)的簡(jiǎn)歷，然后在背后悄悄的上了線：

1.2 宏

在word中可以植?宏來達(dá)到運(yùn)?宏上線的?的，?cobaltstrike也正好?帶了這種攻擊?式：

然后在word的視圖功能中植?相關(guān)宏：

但是此種辦法有個(gè)弊端，就是宏代碼是存在本地的，極易被殺軟查殺。

因此我們可以嘗試使?遠(yuǎn)程加載模板的?式在進(jìn)?宏加載。我們可以更改word中 \word_rels\settings.xml.rels內(nèi)容來加載遠(yuǎn)程模板，加載遠(yuǎn)程模板打開word會(huì)有類似如下提示：

成功加載遠(yuǎn)程模板：

并且，像cobaltstrike?成的宏代碼，使?的是AutoOpen進(jìn)?觸發(fā)，這?可以嘗試使?AutoClose，即關(guān)閉word時(shí)觸發(fā)來達(dá)到?些殺軟、沙箱的繞過：

利?遠(yuǎn)程模板，因?yàn)椴痪邆鋹阂夂甏a，文件本身成功繞過了某殺軟：

并且cobaltstrike上線也毫無阻攔：

1.3 RLO

RLO，即Right-to-Left Override，我們可以在?件名中插?此類unicode字符，來達(dá)到?件名反轉(zhuǎn)的效果， 如下圖就是?個(gè)插?Rlo字符后的?件名，看后綴是個(gè)txt：

但是看?件詳情?是個(gè)scr?件：

下圖展示了打開?個(gè)看似是png圖?后綴的?件，卻執(zhí)?了notepad：

1.4 ?解壓

rar壓縮?件，可以把?件進(jìn)?壓縮，然后運(yùn)?后進(jìn)??解壓的操作：

如果我們把?個(gè)惡意的?件和?個(gè)圖?組合在?起，打包運(yùn)?后，程序進(jìn)??解壓，看到的是?張圖?，但是后???程序已經(jīng)悄悄運(yùn)?了，這種效果如何？看下?的動(dòng)圖展示：

1.5 ?解壓+RLO

上?介紹了?解壓和RLO，那如果兩者組合在?起呢？

我們把pe?件反轉(zhuǎn)成png后綴、修改pe?件的ico圖標(biāo)，最后實(shí)施?解壓操作。即看起來是個(gè)圖?，后綴也是個(gè)圖?，打開也是個(gè)圖?，效果如何呢？

1.6 回執(zhí)

當(dāng)我們想要對(duì)從?上收集到的郵箱進(jìn)?郵件釣?時(shí)，??堆郵箱，怎么確保對(duì)應(yīng)的郵箱依然存活，?或者說哪些郵箱的釣?成功率?點(diǎn)？這時(shí)候就需要?到郵箱的回執(zhí)功能，當(dāng)開啟回執(zhí)時(shí)，我們的郵件被對(duì)?已讀時(shí)，我們就會(huì)收到?份回執(zhí)信息：

這種情況下，我們就可以對(duì)已讀的郵箱進(jìn)?深?釣?。

Part 2. 釣魚話術(shù)

上?提到了很多釣?攻擊?段，但是就如word宏章節(jié)，如果不依賴漏洞的情況下，如何讓對(duì)?點(diǎn)擊啟?宏，如何讓對(duì)?信任你的?件，都需要話術(shù)的?撐。下?就來看看釣?的?些話術(shù)和?段。

2.1 SRC假漏洞

當(dāng)?標(biāo)企業(yè)存在類似SRC漏洞獎(jiǎng)勵(lì)計(jì)劃時(shí)，我們可以去提交?個(gè)假漏洞，并把惡意?件附在其中，并說是漏洞復(fù)現(xiàn)程序：

有些同學(xué)就會(huì)說了，對(duì)SRC安全技術(shù)人員進(jìn)行釣魚，這不是?投羅?嗎。當(dāng)然，釣?安全?員，成功率極低。但是換位思考下，如果你是SRC審核?員，?個(gè)?帽?提交了核?應(yīng)?，且有圖有真相的漏洞復(fù)現(xiàn)截圖的時(shí)候，這種情況下，明知道可能有惡意??的?險(xiǎn)，也不得不去冒險(xiǎn)，因?yàn)槿绻@是?個(gè)真的大漏洞的話，不及時(shí)處理可能會(huì)造成極大壞影響。

這里為了保證“漏洞”的有效性，特地讓程序隨機(jī)吐出看似逼真的數(shù)據(jù)，SRC審核?員，你還敢點(diǎn)擊?帽?的復(fù)現(xiàn)?具嗎？

當(dāng)SRC審核?員遲遲不點(diǎn)擊的時(shí)候，可以施加壓力，站在更高的角度上來進(jìn)?“漏洞督促”：

2.2 簡(jiǎn)歷

簡(jiǎn)歷投遞是?個(gè)百試不爽的釣?話術(shù)?段，從騰訊藍(lán)軍進(jìn)?的遠(yuǎn)程辦公安全演習(xí)也能窺之??。

這?再提?句，?定要逼真，?如在簡(jiǎn)歷釣?郵件中，可以留上你的名字、?機(jī)號(hào)碼、學(xué)校等信息。

我們討論下，為什么簡(jiǎn)歷投遞釣魚在騰訊藍(lán)軍的遠(yuǎn)程辦公安全演習(xí)、其他紅藍(lán)對(duì)抗項(xiàng)目中效果出類拔萃呢？我覺得有如下幾點(diǎn)：

1、首先，我們的郵箱從哪里來？郵箱收集可以從領(lǐng)英、v2ex、搜索引擎等渠道獲取，那為什么會(huì)在上述地方出現(xiàn)郵箱地址？大多數(shù)原因都是用人單位急招人，項(xiàng)目急需人，因此會(huì)在各平臺(tái)留下簡(jiǎn)歷投遞的郵箱，而又正好被攻擊者獲取，而受害者又相信投遞者都是善良的，還能解決招人的燃眉之急，在這種情況下，提高了簡(jiǎn)歷投遞釣魚的成功率；

2、如果你的簡(jiǎn)歷郵件寫的足夠漂亮，對(duì)于一個(gè)公司、面試官來說，一個(gè)好的人才，怎能輕易放過？

3、別忘了，收簡(jiǎn)歷的人大多數(shù)是什么人，是HR。那我們繼續(xù)想想，為什么HR不提防？首先，HR大多數(shù)是女生，女生比較善良、不設(shè)防，又非技術(shù)人員，這兩者組合在一起，絕對(duì)是屬于安全意識(shí)最薄弱的人之一了；

4、簡(jiǎn)歷擁有分發(fā)屬性。我們?cè)诙啻吾烎~項(xiàng)目中發(fā)現(xiàn)，當(dāng)你投遞的簡(jiǎn)歷到非對(duì)應(yīng)項(xiàng)目人的郵箱里時(shí)，他會(huì)幫你轉(zhuǎn)發(fā)，甚至有些熱心的HR還會(huì)幫你錄入到內(nèi)部人才庫(kù)，這相當(dāng)于一下子從不可信變成內(nèi)部可信了，這也是簡(jiǎn)歷投遞釣魚有意思的地方。

2.3 宏釣?

在上?釣??段中的宏釣?攻擊中，如何讓受害者點(diǎn)擊允許運(yùn)?宏呢？

我們可以嘗試使?如下?段，背景為?個(gè)虛化的簡(jiǎn)歷圖?，然后在上?再加上?段?字，意思告訴受害者，這是?份簡(jiǎn)歷，但是因?yàn)槟銢]點(diǎn)擊宏運(yùn)?，所以看不清，要想看清，請(qǐng)點(diǎn)擊運(yùn)?宏：

2.4 合作

合作是?個(gè)公司發(fā)展必不可少的，我們可以在?站下?找?些合作郵箱，以合作的名義去進(jìn)?合作郵件釣?。

并且，在下?的案例中，筆者偽造的公司是跟受害者公司是?個(gè)區(qū)域的，因?yàn)槿绻汶S便找了個(gè)其他地域的公司，受害者公司業(yè)務(wù)沒覆蓋到那邊的話，很可能就不會(huì)理會(huì)你的郵件。

2.5 可信站點(diǎn)附件中轉(zhuǎn)

我們進(jìn)?釣?攻擊時(shí)，會(huì)常常把??直接放在郵件正?中，但是對(duì)?郵件?關(guān)可能有殺軟沙箱，會(huì)攔截帶有惡意?件的郵箱，這時(shí)候可以嘗試對(duì)?件進(jìn)?加密處理。

除了加密處理外，還可以使?可信站點(diǎn)作為中轉(zhuǎn)，?如我準(zhǔn)備釣?的員?是{domain}.com公司下的，那如果我們把附件傳到*.{domain}.com域下的話，當(dāng)對(duì)?看到下載地址是{domain}.com域的話，下載點(diǎn)擊的成功率是不是更?了點(diǎn)呢？是不是有點(diǎn)像XSS？

2.6 技術(shù)交流

技術(shù)?員，最喜歡的莫過于有個(gè)志同道合的朋友?起交流技術(shù)。

下圖釣?話術(shù)?段，就是偽造?個(gè)跟受害者研究同個(gè)技術(shù)的技術(shù)交流郵件，來進(jìn)?釣?欺騙：

2.7 釣??站

如果能獲取到對(duì)?的賬號(hào)密碼，那肯定是極其不錯(cuò)的。

常?的話術(shù)有：

1、大型安全演練期間，請(qǐng)打補(bǔ)丁；

2、公司福利活動(dòng)，請(qǐng)登錄下載領(lǐng)取；

……

這里我們的釣??段為想要獲取該公司使?的某個(gè)平臺(tái)的賬號(hào)密碼，因此我們發(fā)的釣?郵件是跟該平臺(tái)有所關(guān)系，即平臺(tái)升級(jí)：

并且購(gòu)買?個(gè)相似域名，編寫?摸?樣的登錄??：

并且訪問后做引導(dǎo)，告知讓他登錄更新：

發(fā)現(xiàn)該平臺(tái)使?了多因?認(rèn)證，Token還有1分鐘有效期，因此再次編寫監(jiān)控程序，當(dāng)監(jiān)控到有?輸?賬號(hào)密碼，就進(jìn)?郵件提醒，最后，順利獲取到受害者的賬號(hào)密碼：

2.8 第三?平臺(tái)

很多公司都會(huì)在?如拉勾?、智聯(lián)招聘進(jìn)??作招聘，這種情況下，我們也可以在這些第三?平臺(tái)上， 與面試官?對(duì)?的溝通交流，取得信任，最后進(jìn)?釣?攻擊：

2.9 加好友

在?常?活中，只有你多跟別?溝通，?家才會(huì)愿意跟你聊天，釣?亦然。

我們可以多加些受害者的項(xiàng)?群、聊天群，甚?是加??的好友，多聊聊天，讓?家記住你，覺得你是個(gè)“好?”，就可以為后續(xù)的釣?做鋪墊，提?釣?成功率：

下?的圖?展示了當(dāng)與受害者“交流溝通”?段時(shí)間后，已經(jīng)完全“掌控”了對(duì)?，甚?對(duì)?在周末問我要簡(jiǎn)歷時(shí)，為了防?客戶機(jī)周末不間斷的關(guān)機(jī)休眠，特地美名其?的說不想打擾到對(duì)?，等到?作?再投遞相關(guān)“??”：

Part 3. 總結(jié)

釣??段層出不窮，了解釣??段是在攻防演習(xí)?環(huán)境下必不可少的技能之?。本?從真實(shí)項(xiàng)?中提取出來的釣??段、釣?話術(shù)給讀者介紹了釣?中的管中窺豹。

?永遠(yuǎn)是最?的弱點(diǎn)，未知攻，焉知防。以攻促防希望能給安全建設(shè)帶來幫助，祝愿人人都可以識(shí)別騙局，保護(hù)好自己和公司。

文中涉及的全部信息，只限用于技術(shù)交流和安全教育，切勿用于非法用途。

?

我們是TSRC

互聯(lián)網(wǎng)安全的守護(hù)者

用戶數(shù)據(jù)安全的保衛(wèi)者

我們找漏洞、查入侵、防攻擊

與安全行業(yè)精英攜手共建互聯(lián)網(wǎng)生態(tài)安全

期待正能量的你與我們結(jié)盟！

微信號(hào)：tsrc_team

總結(jié)

以上是生活随笔為你收集整理的红蓝对抗之邮件钓鱼攻击的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。