APT攻击的武器搭载系统之导弹制作

鱼叉攻击是针对特定组织的网络欺诈行为，目前是不通过授权访问机密数据，其中最常见的方法就是将木马程序作为电子邮件的附件发送给特定的攻击目标，并诱使目标打开附件，这种方式称为鱼叉附件。

与鱼叉附件相近的一个概念是钓鱼邮件，前者多用于对政企机构的攻击，而后者则多用于对普通个人的攻击。这两个概念的主要区别在于攻击的针对性不同。鱼叉是要瞄准了再攻击，针对性很强；而钓鱼则是愿者上钩，攻击者并不是特别在意谁会上钩，针对性比较弱。

鱼叉邮件的实施过程一般可以分为前期准备、邮件制作、邮件投放和情报回收四个主要阶段。

1. 前期准备

该阶段的主要工作是完成对邮件投放目标人群的电子邮件信箱信息的收集工作，同时还要深入展开对目标人群行为习惯、关注热点等信息的搜集。

2. 邮件制作

该阶段的主要工作是编写带有强烈迷惑性和诱骗性的电子邮件，并将恶意程序夹带其中。

从技术层面看，鱼叉制作作为一个攻击载体，其标题、正文和附件都可能携带恶意程序。例如，在附件中夹带二进制可执行程序，夹带漏洞利用文档，以及在邮件正文中包含恶意网站的链接，是攻击中国的APT组织最常使用的鱼叉邮件手段。

3. 邮件投放

该阶段的主要工作是选择合适的邮箱系统，将制作好的鱼叉邮件发送给要攻击的目标人群。

4. 情报回收

该阶段的主要工作是等待目标人群中招，一旦有目标人群的终端或系统感染了专用木马，就可以通过C&C服务器回收窃取的情报信息。

5. 鱼叉钓鱼攻击防范

鱼叉邮件的主要优点是目标的精准投放，所以可以将其比喻为现实战争中的导弹。但总体而言，鱼叉邮件的技术含量相对较低，而且只要掌握一些基本的、非专业的安全技能就可以进行有效地防范。防范方法如下：

只要掌握了以上这些简单的安全防护技能，一般来说就可以识别和抵御90%以上的鱼叉邮件。

网络安全威胁情报中心纳新

网络安全威胁情报中心交流群（加我微信拉你进群）

各位师傅看完给个关注

原文始发于微信公众号（威胁情报捕获与分析）：APT攻击的武器搭载系统之导弹制作