2024年6月29日18:11:25评论3 views字数 1247阅读4分9秒阅读模式

钓鱼是攻防对抗中一种常用的手段，攻击者通常伪装成可信任的实体，例如合法的机构、公司或个人，以引诱受害者揭示敏感信息或执行恶意操作，能快速地撕破目标的伤口，快速进内网进行刷分。

01信息收集

批量邮箱收集

http://www.skymem.info/

搜索引擎收集

一般来说，企业邮箱都存在邮件网关，邮件投递容易被退信拦截，所以我们要选择私人邮箱或不被邮服拦截的邮箱。

例如：在攻防中的目标有xx企业，可以搜site：“xx企业招聘”

02钓鱼手法

社工钓鱼

● 首先是目标选择，目标群体：hr、经理、财务等安全意识薄弱的人优先选择，提前准备多套场景应对

● 选择目标公司分部进行钓鱼成功率较高，提前想好话术和应变对策，避免被识破，最好不要在总部，避开IT信息安全部

● 社交恐怖分子的师傅可以尝试电话钓鱼，获取信任再添加微信发送木马

邮件钓鱼

● 群发邮件（易被管理员发现或被邮件网关拦截）

● 搜集关键人物个人邮箱定向投递（隐蔽性强）

福利补贴发放

例如：紧贴时事话题，以及各种福利活动将钓鱼链接转为二维码诱惑钓鱼对象点击

简历投递

招聘投递简历，hr面对大量投递的简历不会很细致去查看后缀

03钓鱼文件伪装

通用技巧

●木马需要打压缩，添加密码并隐藏内容，或对木马文件进行双重压缩，一定程度绕过邮件网关的检测
●选择不常见的后缀但仍可作为exe执行，如scr、com、msc、cmd等
●文件名使用长命名，如果对方文件显示设置不当，预览时候看不到后缀

lnk钓鱼

如果得知目标单位使用的不是360这类杀软，可使用lnk文件进行钓鱼（360会拦截）
快捷方式目标位置填入：

%windir%system32cmd.exe /c start ..__MACOS__.__MACOS__.__MACOS__.__MACOS1__简历.doc &amp;&amp; C:Windowsexp.exe "..__MACOS__.__MACOS__.__MACOS__.__MACOS1__简历.exe"

将简历.doc.lnk与真实的doc文档捆绑，使其文件大小看起来更具有迷惑性(copy /b 简历.doc.lnk + 简历.doc 简历.doc2.lnk)。

文件捆绑器

· 绑定正常文件和恶意木马，运行后会对exe本身进行自删除，然后在当前目录下释放正常文件并打开。

免杀的捆绑bili.exe文件还是没有任何图标的，比较原始，隐蔽性不高。我们可用别的方法将捆绑的文件改为png或jpg等图片文件，然后最后实现的效果就是打开一个正常图片的同时上线该主机。

使用RLO改个后缀

打开一个记事本，输入你原本文件名；本文着输入al。

接着，右键选择"插入Unicode控制字符"，再选择"RLO"模式。

接着，只看着键盘输入gpj.exe。下面就是拼接后的效果。

我们使用Ctrl+A全选这段字符串进行复制。接着选中有图标的免杀的捆绑al.exe文件，选择重命名，然后全选文件名al.exe，接着选择"粘贴"。效果如下：

这样看起来就像样的多了。

原文始发于微信公众号（刑天攻防实验室）：红蓝对抗之钓鱼篇

左青龙
微信扫一扫

右白虎
微信扫一扫

红蓝对抗之钓鱼篇

01信息收集

批量邮箱收集

搜索引擎收集

02钓鱼手法

社工钓鱼

福利补贴发放

简历投递

03钓鱼文件伪装

通用技巧

lnk钓鱼

文件捆绑器

一次地市级攻防演练记录

护网即将来临！几个攻防演练模板文件分享

简单说说鱼叉式钓鱼

说服目标点击您的链接

蓝队防守：如何判断安全告警的正误报？

2024攻防演练必修高危漏洞集合（4.0版）

记一次给客户做的钓鱼勒索演练

常态化演练下的各方分析

【红蓝/演练】-事中迎战(5)之作文大赛

攻防演练中登录凭据可复用漏洞及原理分析

发表评论

在线咨询

微信