钓鱼是攻防对抗中一种常用的手段,攻击者通常伪装成可信任的实体,例如合法的机构、公司或个人,以引诱受害者揭示敏感信息或执行恶意操作,能快速地撕破目标的伤口,快速进内网进行刷分。
一般来说,企业邮箱都存在邮件网关,邮件投递容易被退信拦截,所以我们要选择私人邮箱或不被邮服拦截的邮箱。
例如:在攻防中的目标有xx企业,可以搜site:“xx企业招聘”
● 首先是目标选择,目标群体:hr、经理、财务 等安全意识薄弱的人优先选择,提前准备多套场景应对
● 选择目标公司分部进行钓鱼成功率较高,提前想好话术和应变对策,避免被识破,最好不要在总部,避开IT信息安全部
● 社交恐怖分子的师傅可以尝试电话钓鱼,获取信任再添加微信发送木马
例如:紧贴时事话题,以及各种福利活动将钓鱼链接转为二维码诱惑钓鱼对象点击
招聘投递简历,hr面对大量投递的简历不会很细致去查看后缀
●木马需要打压缩,添加密码并隐藏内容,或对木马文件进行双重压缩,一定程度绕过邮件网关的检测
●选择不常见的后缀但仍可作为exe执行,如scr、com、msc、cmd等
●文件名使用长命名,如果对方文件显示设置不当,预览时候看不到后缀
如果得知目标单位使用的不是360这类杀软,可使用lnk文件进行钓鱼(360会拦截)
快捷方式目标位置填入:
%windir%system32cmd.exe /c start ..__MACOS__.__MACOS__.__MACOS__.__MACOS1__简历.doc && C:Windowsexp.exe "..__MACOS__.__MACOS__.__MACOS__.__MACOS1__简历.exe"
将简历.doc.lnk与真实的doc文档捆绑,使其文件大小看起来更具有迷惑性(copy /b 简历.doc.lnk + 简历.doc 简历.doc2.lnk)。
· 绑定正常文件和恶意木马,运行后会对exe本身进行自删除,然后在当前目录下释放正常文件并打开。
免杀的捆绑bili.exe文件还是没有任何图标的,比较原始,隐蔽性不高。我们可用别的方法将捆绑的文件改为png或jpg等图片文件,然后最后实现的效果就是打开一个正常图片的同时上线该主机。
打开一个记事本,输入你原本文件名;本文着输入al。
接着,右键选择"插入Unicode控制字符",再选择"RLO"模式。
接着,只看着键盘输入gpj.exe。下面就是拼接后的效果。
我们使用Ctrl+A全选这段字符串进行复制。接着选中有图标的免杀的捆绑al.exe文件,选择重命名,然后全选文件名al.exe,接着选择"粘贴"。效果如下:
原文始发于微信公众号(刑天攻防实验室):红蓝对抗之钓鱼篇
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2899697.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论