APT发展以来,钓鱼攻击成为攻入内部的最起始的方式,绝对的起手式,但是往往最朴素的方式最有效。无论哪一场APT攻击,都逃不过钓鱼攻击。
今天我们不谈哪种方式的钓鱼邮件最难识别,不谈绕过防护的方式,只来浅谈一下最近见到过的钓鱼邮件里使用的奇淫巧计。
正常的邮件源文件含有邮件头信息,其中有一个X-MAILFROM字段,会记录发件人邮箱。
另外还有一个字段叫From,是和To、Subject字段在一起的,同样也是发件人、收件人、邮件标题的信息,其中From字段中的地址是攻击者可以修改的。
(注:主要利用了邮箱本身安全设置问题,若邮箱地址没有设置spf,那么就会有人假冒真实域名发送邮件。不知道SPF是什么,请参考:https://www.jianshu.com/p/b3460757d260)
图一 邮件源文件标头
如果X-MAILFROM字段与From字段中所包含的邮箱地址不一致,那么在客户端上就会显示为XXX代表XXX。
后面被代表的,是X-MAILFROM字段中的地址,也就是真实的邮箱地址。
图二 邮件具体内容
RLO,即Right-to-Left Override。攻击在文件名中插入此类unicode字符,来达到文件名反转的效果,此文件表面看为txt后缀,查看属性时,实际为scr后缀的文件。
具体操作直接参考:https://blog.csdn.net/mgxcool/article/details/50637346
图三 文件名反转
rar压缩文件,可以把文件进行压缩,然后运行后进行自解压的操作。如果我们把一个恶意的文件和一个图片组合在一起,打包运行后,程序进行自解压,看到的是一张图片,但是后面木马程序已经悄悄运行了
图四 自解压选项
把pe文件反转成png后缀,修改pe文件的ico图标,最后选择自解压进行压缩,外表看起来是一个图片,后缀也是一个图片,打开也是一个图片,实际上已经被攻击者上线了。
图五 使用自解压+RLO进行攻击
htm/html/Stml类附件会在用户本地上渲染出一个伪装的网页,检测这个url毫无问题。一旦在本地网页中输入自己邮箱的用户名和密码点击登录后,该网页就把输入的用户名和密码提交到指向的恶意url。
图六 恶意钓鱼邮件格式
图七 所发送到的恶意url
首先伪装成安全行业求职者,在招聘平台上养号,编写好简历,锁定攻击目标公司的HR,通过招聘平台添加HR个人微信。
之后,将恶意程序伪装成完整版的PDF简历将文件发送给HR小姐姐。
HR小姐姐接收并打开了文件,攻击者直接成功上线HR小姐姐的电脑主机,直接内部开花。
图八 即时通讯钓鱼案例
邮件千万条,安全第一条。
处理不规范,亲人两行泪。
更多技术文章请关注公众号:猪猪谈安全
师傅们点赞、转发、在看就是最大的支持
本文始发于微信公众号(猪猪谈安全):钓鱼邮件常见的奇淫巧计
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论