钓鱼邮件常见的奇淫巧计

  • A+
所属分类:安全文章

APT发展以来,钓鱼攻击成为攻入内部的最起始的方式,绝对的起手式,但是往往最朴素的方式最有效。无论哪一场APT攻击,都逃不过钓鱼攻击。

今天我们不谈哪种方式的钓鱼邮件最难识别,不谈绕过防护的方式,只来浅谈一下最近见到过的钓鱼邮件里使用的奇淫巧计。


钓鱼邮件常见的奇淫巧计
钓鱼邮件常见的奇淫巧计
钓鱼邮件常见的奇淫巧计
钓鱼邮件常见的奇淫巧计
1、最简单的邮件头伪造利用
钓鱼邮件常见的奇淫巧计

正常的邮件源文件含有邮件头信息,其中有一个X-MAILFROM字段,会记录发件人邮箱。

另外还有一个字段叫From,是和To、Subject字段在一起的,同样也是发件人、收件人、邮件标题的信息,其中From字段中的地址是攻击者可以修改的。

(注:主要利用了邮箱本身安全设置问题,若邮箱地址没有设置spf,那么就会有人假冒真实域名发送邮件。不知道SPF是什么,请参考:https://www.jianshu.com/p/b3460757d260)

钓鱼邮件常见的奇淫巧计

钓鱼邮件常见的奇淫巧计

图一 邮件源文件标头

如果X-MAILFROM字段与From字段中所包含的邮箱地址不一致,那么在客户端上就会显示为XXX代表XXX。

后面被代表的,是X-MAILFROM字段中的地址,也就是真实的邮箱地址。

钓鱼邮件常见的奇淫巧计

图二 邮件具体内容


钓鱼邮件常见的奇淫巧计
钓鱼邮件常见的奇淫巧计
钓鱼邮件常见的奇淫巧计
钓鱼邮件常见的奇淫巧计
2、文件名反转(RLO)
钓鱼邮件常见的奇淫巧计

RLO,即Right-to-Left Override。攻击在文件名中插入此类unicode字符,来达到文件名反转的效果,此文件表面看为txt后缀,查看属性时,实际为scr后缀的文件。

具体操作直接参考:https://blog.csdn.net/mgxcool/article/details/50637346

钓鱼邮件常见的奇淫巧计钓鱼邮件常见的奇淫巧计

图三 文件名反转


钓鱼邮件常见的奇淫巧计
钓鱼邮件常见的奇淫巧计
钓鱼邮件常见的奇淫巧计
钓鱼邮件常见的奇淫巧计
3、自解压
钓鱼邮件常见的奇淫巧计

rar压缩文件,可以把文件进行压缩,然后运行后进行自解压的操作。如果我们把一个恶意的文件和一个图片组合在一起,打包运行后,程序进行自解压,看到的是一张图片,但是后面木马程序已经悄悄运行了

钓鱼邮件常见的奇淫巧计

图四 自解压选项


钓鱼邮件常见的奇淫巧计
钓鱼邮件常见的奇淫巧计
钓鱼邮件常见的奇淫巧计
钓鱼邮件常见的奇淫巧计
4、自解压+RLO
钓鱼邮件常见的奇淫巧计

把pe文件反转成png后缀,修改pe文件的ico图标,最后选择自解压进行压缩,外表看起来是一个图片,后缀也是一个图片,打开也是一个图片,实际上已经被攻击者上线了。

钓鱼邮件常见的奇淫巧计

图五 使用自解压+RLO进行攻击


钓鱼邮件常见的奇淫巧计
钓鱼邮件常见的奇淫巧计
钓鱼邮件常见的奇淫巧计
钓鱼邮件常见的奇淫巧计
5. html/html/Stml类附件
钓鱼邮件常见的奇淫巧计

htm/html/Stml类附件会在用户本地上渲染出一个伪装的网页,检测这个url毫无问题。一旦在本地网页中输入自己邮箱的用户名和密码点击登录后,该网页就把输入的用户名和密码提交到指向的恶意url。

钓鱼邮件常见的奇淫巧计

图六 恶意钓鱼邮件格式

钓鱼邮件常见的奇淫巧计

图七 所发送到的恶意url


钓鱼邮件常见的奇淫巧计
钓鱼邮件常见的奇淫巧计
钓鱼邮件常见的奇淫巧计
钓鱼邮件常见的奇淫巧计
6、鱼饵钓鱼
钓鱼邮件常见的奇淫巧计

首先伪装成安全行业求职者,在招聘平台上养号,编写好简历,锁定攻击目标公司的HR,通过招聘平台添加HR个人微信。

之后,将恶意程序伪装成完整版的PDF简历将文件发送给HR小姐姐。

HR小姐姐接收并打开了文件,攻击者直接成功上线HR小姐姐的电脑主机,直接内部开花。

钓鱼邮件常见的奇淫巧计

钓鱼邮件常见的奇淫巧计

图八 即时通讯钓鱼案例


邮件千万条,安全第一条。

处理不规范,亲人两行泪。


黑洞安全,几个家在河南的安全黑洞,搞了学习交流的地方~ 请师傅们多多关照,十分欢迎各种来稿和指教(球大佬带~)
恳求关注~我就是秽土转生!!也感谢大佬们~~~

更多技术文章请关注公众号:猪猪谈安全

钓鱼邮件常见的奇淫巧计

师傅们点赞、转发、在看就是最大的支持



本文始发于微信公众号(猪猪谈安全):钓鱼邮件常见的奇淫巧计

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: