常见网络钓鱼攻击案例及实践

admin 2022年5月19日10:04:57评论1,069 views字数 2489阅读8分17秒阅读模式

声明

因传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,WondersCERT及文章作者不为此承担任何责任。


WondersCERT拥有对本文的修改权和解释权。如需转载或传播本文,必须保证本文的完整性,包括版权声明等全部内容。未经WondersCERT允许,不得任意修改本文内容,且不得以任何方式将其用于商业目的。



网络钓鱼是最常见的网络攻击方式之一,结合社会工程学利用目标人群的心理弱点、本能反应、好奇心、信任、贪婪等特征进行诱导、欺骗等。在日常生活工作中,最常使用的邮件、各种文档也成为黑客常用的攻击载体。近些年来,网络钓鱼攻击数量也一直呈增长趋势,特别是在APT攻击、勒索软件攻击等事件中,扮演了重要的角色。


1、Office宏钓鱼

Office宏,译自英文单词Macro。宏是Office自带的一种高级脚本特性,通过VBA代码可以在Office中去完成某项特定的任务而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。宏病毒是一种寄存在文档、模板的代码,一旦打开这样的文档,其中的宏就会被执行,宏病毒就会被激活并转移到计算机中驻留在 Normal 模板上。


1-1  Word宏钓鱼


实践步骤如下:

常见网络钓鱼攻击案例及实践


1、 在Word文档中,创建宏;

2、 在宏中写入编辑好的恶意宏代码;

3、 将宏文件通过社工手段发送给受害者并诱骗其打开宏文件;


当受害者被诱骗点击打开宏文档并启用内容时,宏文件中的恶意代码就会执行,并执行相应的动作,如打开或关闭某些应用,或者主动连接黑客的远程控制机器。


常见网络钓鱼攻击案例及实践
常见网络钓鱼攻击案例及实践



1-2  Word文档远程模板注入钓鱼


这种攻击方式与传统的宏启用文档相比,能够对目标执行网络钓鱼攻击时,将.docx的文档直接附加到电子邮件中,并且不太可能根据文件的后缀名去阻止它。Word远程模板执行宏就是利用Word 文档加载附加模板时的缺陷所发起的恶意请求而达到的攻击目的,所以当目标用户点开攻击者发给他的恶意word文档就可以通过向远程服务器发送恶意请求的方式,然后加载模板执行恶意模板的宏。


实践步骤如下:

常见网络钓鱼攻击案例及实践


1、 创建启用宏的模板,或是.docm文件,它将包含恶意 VBA 宏;

2、 创建看似没有危害的.docx文件,它本身不包含恶意代码,只有指向恶意模板文件的目标链接;

3、 诱骗受害者打开.docx文档,文档便会远程加载恶意宏文件;

4、 用户启用后便会被成功钓鱼;


常见网络钓鱼攻击案例及实践
常见网络钓鱼攻击案例及实践
常见网络钓鱼攻击案例及实践



1-3  Excel宏钓鱼


Excel跟Word一样都是支持宏,所以一样存在宏病毒。当黑客把恶意的宏代码嵌入Excel表格中,用户打开Excel文件里的宏就会被触发。


实践步骤如下:

常见网络钓鱼攻击案例及实践


1、 新建表格,插入宏;

2、 编辑恶意宏代码,执行任意命令或远程连接等;

3、 通过社工诱骗受害者接收并打开恶意的宏文件;


常见网络钓鱼攻击案例及实践
常见网络钓鱼攻击案例及实践
常见网络钓鱼攻击案例及实践



2、Lnk快捷方式钓鱼

Lnk快捷方式是用于指向其他文件的一种文件,这些文件通常称为快捷方式文件。通常它以快捷方式放在桌面上,以方便使用者快速的调用。


实践步骤如下:

常见网络钓鱼攻击案例及实践


1、 创建快捷方式,将快捷方式伪装成某些热门应用或歌曲等样式;

2、 使快捷方式启动目标指向恶意程序的下载地址或执行某条恶意命令;

3、 诱骗受害者点击启动即可成功钓鱼;


常见网络钓鱼攻击案例及实践
常见网络钓鱼攻击案例及实践



3、克隆网站钓鱼

克隆网站主要指对受害者日常访问较多的网站进行制作模仿,克隆的网站效果与原网站相差无几,且会对域名进行较为相似的模仿,以达到以假乱真的目的。如受害者防备心理不强,极有可能会被克隆网站迷惑进行正常的操作,从而被钓鱼成功,被黑客进行键盘记录、劫持网页或被下载恶意木马文件等。

常见网络钓鱼攻击案例及实践
常见网络钓鱼攻击案例及实践



4、 文件钓鱼

文件钓鱼是一种很古老、直接的钓鱼方式,利用图片图标伪装常用的工具和文件。配上特定的环境和术语,可以很好的诱导客户打开文件进而获取对方的用户计算机的权限。


实践步骤如下:

常见网络钓鱼攻击案例及实践


1、 制作恶意木马文件;

2、 将恶意木马文件伪装成为热门应用文件或其它应用文件;

3、 诱骗受害者启用伪装后的恶意木马文件,实现成功钓鱼;


常见网络钓鱼攻击案例及实践
常见网络钓鱼攻击案例及实践



5、 RTLO字符伪装钓鱼

伪装文件中有种比较古老的方式,如今依然会在网络攻击中看到它的身影。RTLO字符全名为“RIGHT-TO-LEFT OVERRIDE”,是一个不可显示的控制类字符,其本质是unicode字符。可以将任意语言的文字内容按倒序排列,最初是用来支持一些从右往左写的语言的文字,比如阿拉伯语、希伯来语等。由于它可以重新排列字符的特性,会被攻击者利用从而达到欺骗目的,使得用户运行某些具有危害性的可执行文件。


实践步骤如下:

常见网络钓鱼攻击案例及实践


1、 恶意木马文件后缀为可执行应用程序,一般会引起注意,可通过RTLO进行伪装;

2、 将应用程序文件伪装为mp3、mp4或者图片格式,可降低受害者的防备心理;

3、 诱骗受害者点击启动,即可钓鱼成功;


常见网络钓鱼攻击案例及实践
常见网络钓鱼攻击案例及实践



6、 电子书钓鱼

现在很多人都有阅读电子书的习惯,但也有很多人会去看盗版的电子书,这也就使得黑客有机可乘。


实践步骤如下:

常见网络钓鱼攻击案例及实践


1、 通过对电子书籍进行制作,使电子书籍在打开时,运行恶意代码(远程下载恶意木马文件、执行恶意命令等);

2、 将制作好的书籍发布到可进行下载网站(一般为盗版书籍网站);

3、 受害者下载并打开阅读,便会被成功钓鱼;


常见网络钓鱼攻击案例及实践
常见网络钓鱼攻击案例及实践
常见网络钓鱼攻击案例及实践



7、 总结


通过以上介绍,我们了解到网络钓鱼攻击已经演变出了多种攻击形式。一般来说,链接钓鱼体现为克隆网站、恶意链接,通过诱骗受害者进行网站访问,对受害者进行键盘记录从而获取到用户登录信息等。

附件钓鱼一般体现为邮件的附件,如各类文档、各类应用程序等,结合社会工程学诱骗其点击下载并运行,从而获取信息或获取计算机操控权限。

宏钓鱼,一般会以邮件附件的形式发送给受害者,并通过话术对受害者进行社工,诱骗其接收并打开宏。Word文档的宏文件对应的后缀为.docm,Excel表格的宏文档对应的后缀为.xlsm,并且通常宏文件都需要手动点击打开。因此,对于非官方通知邮箱中的附件,都需要谨慎对待。

文件钓鱼,一般会以各类热门应用程序、图片或音视频文件出现。所以任何官方渠道出现的应用文件,都应该保持谨慎,不要随意点击。

END


常见网络钓鱼攻击案例及实践

微信公众号 

 WondersCERT



原文始发于微信公众号(WondersCERT):常见网络钓鱼攻击案例及实践

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月19日10:04:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   常见网络钓鱼攻击案例及实践https://cn-sec.com/archives/1018062.html

发表评论

匿名网友 填写信息