01 口令凭证窃取
1、二维码
近两年由于市场经济环境严峻,有诸多不法分子通过以劳动补贴和退税等主题给打工人发送钓鱼邮件。打工人使用手机进行扫描二维码后,自动打开钓鱼网站,钓鱼网站会诱导用户输入自己的银行卡账号和密码等信息。
2、超链接
(1)正文超链接钓鱼
在邮件正文,通过html伪造按钮诱导用户进行点击。用户点击后会使用默认浏览器打开钓鱼页面,诱导用户输入密码。此类方式方式较为常见,获取到邮箱的口令信息并窃密。
3、附件html钓鱼
发送html附件窃取用户口令。与上一种方式相比,不需要跳转至第三方网站。该方式直接在通过html伪造钓鱼页面,诱导用户输入密码,当用户点击提交后密码直接通过post请求发送至第三方网站。
02 木马投递
木马投递相比单纯窃取用户的口令凭证来说,其危害性更高。主要体现在用户中招后钓鱼人可以直接控制用户电脑,窃取用户的数据,还可以在用户的内网进行横向移动从而扩大钓鱼人的战果。
1、附件html下载jar
文件附件html文件“Payment-November15th2022.html”,通过浏览器打开html文件后会下载一个jar文件“Payment-November15th2022-pdf.jar”。
jar文件内置在html内部,不需要联网,浏览器打开html文件后就可以直接下载。如果计算机安装java环境,双击后就会中招。
2、附件htm下载zip包含vhd
通过附件html内置zip文件,通过浏览器打开后自动下载zip文件。并且在html页面显示密码诱导进行解压文件。
3、附件zip
在攻防演练时最常见的手法就是直接发送zip,并在任何能看到的地方放一个密码。密码的位置可能是在正文,也可能是在主题“xxx通知,解压密码:12345”、也可能是在文件名“中国工商流水账单-密码12345.zip”,更有可能在正文中通过图片进行诱导。
4、icon图标欺骗
在windows中我们可以任意修改exe可执行文件的icon图标,将icon图标修改成word或excel的图标后可以迷惑鱼儿进行双击执行。但是稍微懂一点计算机基础只就会发现文件后缀名不对劲“.EXE”,对此我们继续往下看。
5、通过文件名空格加长欺骗
为了避免鱼儿发现文件后缀存在问题,钓鱼人将Windows系统的缺陷利用发挥到了极致。钓鱼人发现Windows资源管理器在文件名过长时,会自动隐藏后面部分。可以在文件的后缀名和文件名之间添加大量空格,如:“winx86_retcp.png................. .exe”,但是只要细心关注下文件类型还是可以发现端倪。
6、RLO编码反转
RLO是微软的中东Unicode字符(Middleeast Unicode)中的一个,其作用是强制其后的字符变为从右到左的方式显示,一般用于中东语言(如阿拉伯语)的强制显示,但是在非中东语言中Explorer遇到此字符仍然是默认右-左显示,例如本來
""winx86_retcp.jpg.exe"这样的文件名,在jpg前面插入RLO控制字符之后变成
""winx86_retcp.exe.jpg"。
7、自解压
自解压是在Hvv期间常用的欺骗用户的方式,执行后可以将内置文件释放到特定的目录,并执行。自解压文件可以结合“icon图标修改”和“RLO编码反转“来进一步增强迷惑性。同时还可以使用空字节填充木马文件,使得木马文件大小达到及时MB,以绕过杀毒软的查杀。
8、快捷方式
快捷方式通常在攻防演练期间使用较多,通过命令执行子目录中的可执行程序。“__MACOSX”目录是mac电脑中比较常见的目录,钓鱼佬使用多级类似的目录名称来隐藏可执行文件,鱼儿打开文件后会先点击一级目录的快捷方式执行木马。
9、office系列
最常遇到的为宏代码执行,使用宏代码从远程地址加载恶意文件或直接内置木马进行释放。使用此方式比较多的有Emotet家族,该方式免杀过程比较复杂,容易被杀毒软件识别。
03 最后
祝爱好钓鱼的大家生活中渔获满满,网络上永不被钓。
原文始发于微信公众号(微步在线应急响应团队):钓鱼佬永不空军
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论