作者：微步情报社区

https://x.threatbook.com/v5/article?threatInfoID=18087

蓝队/红队钓鱼项目已发现钓鱼项目：

https://github.com/fofahub/fofahubkeyword

文档是用canarytokens做了信标的，可以用来钓蓝队/红队的出口ip

对GitHub中使用word文档进行钓鱼项目的分析

微步云沙箱分析

将该项目中的docx投递至沙箱分析后，发现回连：http://canarytokens.com/terms/articles/ayz4tfaqbetnwn1pz1gmqspi3/post.jsp，其中ayz4tfaqbetnwn1pz1gmqspi3，是该word文档的唯一token。云沙箱分析结果地址：https://s.threatbook.com/report/file/0ce467917dedc41a0490acddd4098576ce7a04feefd7b84ba70747149eca76da

样本分析

下载文件后，在word footer2.xml和word_relsfooter2.xml.rels中存在C&C地址：canarytokens.com

复现

canarytokens.com（https://canarytokens.com/）是一个dnslog平台，工作原理是在页面的图像标记中嵌入一个唯一的URL，捕获之后的返回信息。制作钓鱼word的方法如下：访问https://canarytokens.com/generate生成带有负载的word文件配置完成后会生成word文档，和查询结果的地址。https://canarytokens.com/download?fmt=msword&token=kqsmrusry ***** t3bfm&auth=931b552ae3 ****** 37f248243c6b48访问https://canarytokens.org/history?token=kqsmrusry ***** t3bfm&auth=931b552ae3 ****** 37f248243c6b48 地址可以获取运行过该文档的出口IP。

后续建议

1、警惕外部链接，不访问安全性未知的链接与内容。

2、安全性不明的文档，投递至微步云沙箱（s.threatbook.com）进行检测。

3、加强企业人员安全意识教育，警惕新型攻击。

加个好友

欢迎 在看丨留言丨分享至朋友圈 三连

 好文推荐  

• 2022HW必备|最全应急响应思维导图

• 2022HVV交流群

• 干货|红队全流程学习资料（附下载地址）

• 某知名OA高版本getshell思路（附部分脚本）
  

• 干货|后渗透及内网初体验的总结

• 发现内网存活主机的各种姿势
  

• 实战|某次攻防演练中的分析溯源
  

• 实战|后台getshell+提权一把梭

• 红队快速打点工具
  

• 实战|记一次艰难的外网打点

• 实战|记一次文件上传绕过
  

• 常见漏洞安全攻防知识库

• 红队信息搜集工具（附下载地址）

• 实战—某医院管理系统Getshell
  

• CobaltStrike上线Linux

原文始发于微信公众号（乌雲安全）：蓝队/红队钓鱼项目（附分析报告）