五分鐘技術(shù)趣談 | 淺析紅隊(duì)攻擊之釣魚(yú)技術(shù)

作者：周宇，單位：中移物聯(lián)網(wǎng)有限公司

隨著安全防護(hù)技術(shù)水平的提升和安全設(shè)備對(duì)攻擊行為檢測(cè)能力的增強(qiáng)，傳統(tǒng)的WEB攻擊方式變得越來(lái)越難以有效地穿越防線(xiàn)。因此，釣魚(yú)攻擊逐漸成為紅隊(duì)活動(dòng)中備受關(guān)注的焦點(diǎn)。與傳統(tǒng)的攻擊手段相比，釣魚(yú)攻擊具備更高的成功率，常常能夠達(dá)到較好的攻擊效果。這是因?yàn)獒烎~(yú)攻擊不直接依賴(lài)技術(shù)漏洞，而是利用心理和行為傾向來(lái)欺騙目標(biāo)。舉例來(lái)說(shuō)，釣魚(yú)攻擊可以通過(guò)偽裝成合法實(shí)體發(fā)送虛假電子郵件，誘使受害者提供敏感信息或點(diǎn)擊惡意鏈接。攻擊者也可能創(chuàng)建外觀(guān)酷似合法網(wǎng)站的假冒網(wǎng)站，引誘人們輸入敏感數(shù)據(jù)。另外，攻擊者還可能通過(guò)電話(huà)、社交媒體或即時(shí)消息偽裝身份，誘導(dǎo)受害者透露機(jī)密信息或執(zhí)行惡意操作。更為針對(duì)性的是"Spear Phishing"，攻擊者會(huì)根據(jù)受害者的情況量身定制釣魚(yú)內(nèi)容，以增加說(shuō)服力。

Part 01●??目標(biāo)群體信息收集??●

釣魚(yú)攻擊在實(shí)施之前，務(wù)必充分進(jìn)行前期信息收集和整合，以確保不被察覺(jué)。這包括搜集目標(biāo)企業(yè)的多個(gè)方面信息，如招聘情況、招投標(biāo)記錄、法律爭(zhēng)議、供應(yīng)鏈信息、員工通訊信息、社交媒體賬號(hào)、域名情況，以及企業(yè)內(nèi)部的組織架構(gòu)和高管姓名等。

在釣魚(yú)攻擊中，最理想的情況是在信息收集階段獲得某位企業(yè)員工或管理員的電子郵箱登錄憑據(jù)。另外，如果能夠獲取某個(gè)Web服務(wù)器的權(quán)限，從其配置文件中找到郵箱相關(guān)信息也是一種成功的方法。此外，獲取辦公系統(tǒng)的權(quán)限或登錄憑據(jù)，尤其是系統(tǒng)中存在工作流程或郵件往來(lái)功能，將為攻擊者提供合法身份，從而更加隱蔽地進(jìn)行攻擊。

在進(jìn)行這些步驟時(shí)，請(qǐng)確保采取隱蔽的方法，以免引起注意。信息收集是釣魚(yú)攻擊成功的基礎(chǔ)，因此在這一階段的小心謹(jǐn)慎至關(guān)重要。

常規(guī)收集途徑不限于愛(ài)企查、git、威脅情報(bào)、語(yǔ)雀等。

圖1 hunter郵箱收集平臺(tái)圖

Part 02●??釣魚(yú)攻擊攻擊類(lèi)型?●

釣魚(yú)攻擊的策略可以簡(jiǎn)化為以下幾種主要方式：

? 社交釣魚(yú)：這種方法適用于信息收集階段，當(dāng)發(fā)現(xiàn)目標(biāo)已在互聯(lián)網(wǎng)上泄露聯(lián)系方式時(shí)，例如企業(yè)在釘釘、QQ、微信等社交平臺(tái)上的存在。攻擊者可能利用這些信息，如公司的釘釘或QQ群、員工的手機(jī)號(hào)，甚至通過(guò)手機(jī)號(hào)獲取社交賬號(hào)好友關(guān)系等，來(lái)進(jìn)行欺騙。社交平臺(tái)上的釣魚(yú)攻擊通常涉及發(fā)送病毒鏈接或誘騙性消息，以下載惡意軟件、竊取用戶(hù)機(jī)密信息。

? 郵件釣魚(yú)：如果在信息收集階段獲取了目標(biāo)的招聘、法務(wù)糾紛、招投標(biāo)等信息，攻擊者可以嘗試進(jìn)行郵件釣魚(yú)攻擊。這種方法適用于目標(biāo)在互聯(lián)網(wǎng)上公開(kāi)發(fā)布信息的情況。電子郵件釣魚(yú)是目前最常見(jiàn)的攻擊方式之一。攻擊者可以發(fā)送偽造的郵件，假扮成銀行、電信公司、政府機(jī)構(gòu)等，以獲取敏感信息或傳遞惡意軟件。

? 網(wǎng)站欺詐：這種方式利用郵件、社交等渠道，通過(guò)友好和吸引人的方式，誘使用戶(hù)點(diǎn)擊鏈接，將目標(biāo)帶到偽裝成合法站點(diǎn)的地方，然后獲取用戶(hù)的賬號(hào)和密碼。

? 被動(dòng)釣魚(yú)：這種方法涉及公開(kāi)信息，如在GitHub代碼倉(cāng)庫(kù)、Python庫(kù)或其他公開(kāi)文檔中散布虛假信息，以迷惑目標(biāo)用戶(hù)下載、安裝或運(yùn)行。被動(dòng)釣魚(yú)適用于大規(guī)模攻防演練或APT攻擊等情況。

釣魚(yú)攻擊可以進(jìn)一步分為以下幾種類(lèi)型：

? 魚(yú)叉攻擊：魚(yú)叉攻擊主要針對(duì)特定個(gè)體，攻擊者制定特定的攻擊策略。與廣泛撒網(wǎng)不同，對(duì)大范圍釣魚(yú)攻擊的發(fā)現(xiàn)概率更高。紅隊(duì)在實(shí)際操作中通常更關(guān)注特定群體，如運(yùn)維人員。這些人員通常存放有系統(tǒng)臺(tái)賬，而這些臺(tái)賬往往包含重要業(yè)務(wù)系統(tǒng)的信息。一旦成功，將為攻擊者帶來(lái)重要的內(nèi)網(wǎng)突破路徑。

? 水坑攻擊：水坑攻擊在目標(biāo)必經(jīng)的路徑上設(shè)置陷阱，等待目標(biāo)觸發(fā)。一旦目標(biāo)觸發(fā)陷阱，攻擊者將在目標(biāo)主機(jī)上植入惡意軟件。這種方法通常利用組織內(nèi)部的業(yè)務(wù)系統(tǒng)漏洞或權(quán)限，通過(guò)放置惡意代碼，一旦正常用戶(hù)訪(fǎng)問(wèn)，就會(huì)觸發(fā)惡意代碼，進(jìn)而獲取目標(biāo)主機(jī)的權(quán)限。

? 鯨釣攻擊：鯨釣攻擊主要針對(duì)企業(yè)高層管理人員。這些人員往往沒(méi)有像普通員工那樣接受網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，因此對(duì)釣魚(yú)攻擊的防范意識(shí)較低，更容易受到攻擊。攻擊高層管理人員成功后，攻擊者獲取的信息價(jià)值更高，危害更大。

Part 03●?準(zhǔn)備話(huà)術(shù)、釣魚(yú)網(wǎng)站及魚(yú)餌?●

3.1 話(huà)術(shù)

釣魚(yú)攻擊的成功在很大程度上依賴(lài)于精心構(gòu)建的話(huà)術(shù)，這在整個(gè)釣魚(yú)過(guò)程中占據(jù)著關(guān)鍵地位。不同的釣魚(yú)話(huà)術(shù)針對(duì)不同的目標(biāo)，產(chǎn)生不同的攻擊效果。在策劃釣魚(yú)攻擊之前，對(duì)被釣魚(yú)對(duì)象有深入的了解是不可或缺的。這包括獲取目標(biāo)企業(yè)員工的聯(lián)系方式以及了解他們是否在企業(yè)內(nèi)部。對(duì)目標(biāo)的職位和所在部門(mén)進(jìn)行準(zhǔn)確判斷，比如確定是否在公司擔(dān)任行政職務(wù)，確認(rèn)辦公設(shè)備是否連接到公司網(wǎng)絡(luò)，了解目標(biāo)在公司中的職位以及設(shè)備是否安裝了殺軟，以及殺軟的具體類(lèi)型。

3.2 魚(yú)餌附件進(jìn)行免殺

在釣魚(yú)攻擊中，克服的難題之一始終是如何對(duì)抗殺軟。在計(jì)算機(jī)普遍安裝了個(gè)人殺軟，企業(yè)采用沙箱和企業(yè)級(jí)EDR的情況下，未經(jīng)處理的木馬程序難以有效部署或執(zhí)行。為了繞過(guò)這些保護(hù)措施，定制化的免殺木馬應(yīng)運(yùn)而生，旨在能夠逃避目標(biāo)沙箱檢查和殺軟的查殺。最理想的情況是，在收集信息或與受害者溝通時(shí)，能夠探明目標(biāo)是否裝備有殺軟，以及使用的殺軟類(lèi)型，從而制作相應(yīng)的免殺木馬樣本。雖然通過(guò)誘使目標(biāo)關(guān)閉殺軟是一種簡(jiǎn)單的方法，但現(xiàn)實(shí)情況通常是攻擊者難以獲知目標(biāo)的殺軟情況，所有操作都在黑盒的狀態(tài)下進(jìn)行。為確保釣魚(yú)攻擊的成功率，唯有制作強(qiáng)大的免殺工具，以便能夠繞過(guò)更多種類(lèi)的殺軟。

想要制作免殺木馬，就必須深入了解殺軟的工作原理。通常，殺軟采用靜態(tài)分析和動(dòng)態(tài)分析兩種方法。靜態(tài)分析時(shí)，殺軟會(huì)檢查文件的二進(jìn)制代碼，掃描其中的特定模式和指令序列，以便識(shí)別潛在的惡意行為，包括尋找已知的惡意簽名和計(jì)算機(jī)病毒，以及判斷文件是否表現(xiàn)出惡意特征等。靜態(tài)免殺即攻擊者利用技巧，使得他們的惡意軟件在靜態(tài)分析下不被殺軟察覺(jué)，方法包括文件格式修改、使用加殼器或代碼混淆器、隱藏惡意代碼等。而動(dòng)態(tài)分析則是在運(yùn)行時(shí)監(jiān)測(cè)程序行為，觀(guān)察系統(tǒng)調(diào)用、網(wǎng)絡(luò)流量、文件操作和其他活動(dòng)。這有助于殺軟識(shí)別使用代碼混淆、加密或其他技術(shù)掩蓋的惡意行為。動(dòng)態(tài)免殺即攻擊者運(yùn)用技巧，使得他們的惡意軟件在動(dòng)態(tài)分析下不被殺軟發(fā)現(xiàn)，方法包括虛擬化技術(shù)、進(jìn)程注入、代碼混淆、反調(diào)試技術(shù)、反沙箱技術(shù)、動(dòng)態(tài)生成惡意代碼等，以逃避殺軟的分析功能。常見(jiàn)的免殺方法有：免殺加載器、分離免殺、加殼免殺、修改特征免殺。

3.3 魚(yú)餌附件進(jìn)行偽裝

偽裝是指通過(guò)各種手段對(duì)釣魚(yú)樣本進(jìn)行外觀(guān)上的偽裝，以使其具有不同于實(shí)際內(nèi)容的外觀(guān)特征。舉例來(lái)說(shuō)，可以將可執(zhí)行文件的外觀(guān)偽裝成更類(lèi)似于PDF文件，或者通過(guò)替換木馬可執(zhí)行文件的.ico圖標(biāo)，使其呈現(xiàn)出官方可執(zhí)行文件的外觀(guān)。在進(jìn)行信息收集階段，收集受害者所屬組織的官方網(wǎng)站圖標(biāo)，并將其應(yīng)用于木馬，以降低目標(biāo)的警惕性。然而，如果運(yùn)行文件后沒(méi)有出現(xiàn)任何反應(yīng)，這可能引發(fā)對(duì)方的懷疑。在這種情況下，就需要對(duì)木馬的圖標(biāo)和文件信息進(jìn)行修改，將正常文件與木馬相互綁定，使用戶(hù)在運(yùn)行時(shí)會(huì)釋放出預(yù)先準(zhǔn)備的正常文件。紅隊(duì)需要掌握釣魚(yú)文件制作技術(shù)，以減輕目標(biāo)的戒心。以下是幾種常見(jiàn)的方法：

1、文件外觀(guān)偽裝：修改文件的頭部信息或特定部分，使其在外觀(guān)上更像其他類(lèi)型的文件，例如將可執(zhí)行文件偽裝成文檔、圖像或音頻文件。

2、圖標(biāo)替換：將木馬可執(zhí)行文件的圖標(biāo)替換為常見(jiàn)、無(wú)害程序的圖標(biāo)，以使其在文件瀏覽器中看起來(lái)與正常文件相似。

3、捆綁文件：將木馬與一個(gè)或多個(gè)合法文件綁定在一起，使用戶(hù)運(yùn)行文件時(shí)同時(shí)釋放出正常文件，以掩蓋木馬的存在。

4、動(dòng)態(tài)加載：在運(yùn)行時(shí)，木馬可以動(dòng)態(tài)下載其他惡意組件，從而不會(huì)被靜態(tài)分析檢測(cè)出來(lái)。

5、代碼混淆：對(duì)木馬代碼進(jìn)行混淆，使其難以被靜態(tài)分析工具解讀，從而降低檢測(cè)風(fēng)險(xiǎn)。

6、虛擬化技術(shù)：使用虛擬化技術(shù)將木馬代碼包裝在虛擬環(huán)境中運(yùn)行，使其行為更接近正常程序，以逃避動(dòng)態(tài)分析檢測(cè)。

7、反沙箱技術(shù)：檢測(cè)是否在沙箱環(huán)境中運(yùn)行，如果是，則木馬可能會(huì)采取不同的行為，以躲避檢測(cè)。

8、反調(diào)試技術(shù)：木馬可能會(huì)監(jiān)測(cè)是否在調(diào)試環(huán)境中運(yùn)行，如果是，則采取措施阻止調(diào)試操作。

這些方法可以在釣魚(yú)攻擊中用來(lái)制作免殺木馬，以便更好地欺騙目標(biāo)并繞過(guò)安全措施。

圖3 修改附件圖標(biāo)示意圖

圖4 自解壓及后綴反轉(zhuǎn)技術(shù)示意圖

3.4 釣魚(yú)網(wǎng)站

釣魚(yú)網(wǎng)站是一種網(wǎng)絡(luò)欺詐行為，旨在誘導(dǎo)用戶(hù)提供個(gè)人敏感信息，如用戶(hù)名、密碼、信用卡信息等，通常是通過(guò)偽裝成合法和可信賴(lài)的網(wǎng)站。攻擊者會(huì)創(chuàng)建看似真實(shí)的網(wǎng)站，外觀(guān)和功能與合法網(wǎng)站非常相似，以便欺騙用戶(hù)在網(wǎng)站上輸入他們的敏感信息。一旦用戶(hù)提供了這些信息，攻擊者就可以利用這些信息進(jìn)行不法活動(dòng)，如盜取身份、進(jìn)行金融欺詐等。

釣魚(yú)網(wǎng)站通常使用社會(huì)工程學(xué)和偽裝技術(shù)，通過(guò)電子郵件、社交媒體、即時(shí)消息等渠道將受害者引導(dǎo)至這些網(wǎng)站。例如，攻擊者可能會(huì)發(fā)送看似合法的電子郵件，要求用戶(hù)點(diǎn)擊鏈接前往某個(gè)網(wǎng)站，然后在該網(wǎng)站上輸入他們的登錄信息。這些電子郵件通常會(huì)偽裝成銀行、電子支付平臺(tái)、社交媒體或其他常用服務(wù)的通知，以引起受害者的興趣和信任。

為了識(shí)別釣魚(yú)網(wǎng)站，用戶(hù)需要保持警惕，注意以下幾點(diǎn)：

URL檢查：在點(diǎn)擊鏈接之前，仔細(xì)檢查鏈接的URL。攻擊者可能會(huì)使用與真實(shí)網(wǎng)站類(lèi)似的域名，但可能會(huì)有細(xì)微的差異或錯(cuò)字。

安全證書(shū)：確保網(wǎng)站使用了合法的安全證書(shū)。大多數(shù)合法網(wǎng)站會(huì)在瀏覽器中顯示一個(gè)鎖形圖標(biāo)，表示連接是加密的。

謹(jǐn)慎點(diǎn)擊鏈接：不要在未經(jīng)驗(yàn)證的電子郵件、短信或社交媒體消息中點(diǎn)擊鏈接。最好手動(dòng)輸入網(wǎng)站的URL，而不是通過(guò)點(diǎn)擊鏈接進(jìn)入。

不提供敏感信息：永遠(yuǎn)不要在不確定網(wǎng)站上輸入敏感信息，特別是密碼、信用卡信息等。

使用安全工具：使用安全軟件和防病毒工具可以幫助檢測(cè)和阻止訪(fǎng)問(wèn)惡意網(wǎng)站。

總之，釣魚(yú)網(wǎng)站是一種網(wǎng)絡(luò)欺詐行為，通過(guò)偽裝成合法網(wǎng)站來(lái)誘使用戶(hù)泄露敏感信息。用戶(hù)應(yīng)該保持警惕，避免在未經(jīng)驗(yàn)證的情況下提供個(gè)人信息，以確保網(wǎng)絡(luò)安全。

Part 04●??投放誘餌?●

完成上述任務(wù)后，木馬將以多種方式傳遞到目標(biāo)系統(tǒng)，然后靜靜等待目標(biāo)上鉤。目前是否成功上鉤取決于釣魚(yú)話(huà)術(shù)是否足夠迷惑，以至于讓目標(biāo)深信不疑。

以下是幾種提高成功概率的策略：

創(chuàng)造適當(dāng)?shù)木o迫感。例如偽造可能引發(fā)嚴(yán)重后果的事件，或者冒充一個(gè)無(wú)法拒絕的身份，比如組織內(nèi)高級(jí)領(lǐng)導(dǎo)、第三方運(yùn)維人員或求職者。

強(qiáng)調(diào)時(shí)間的緊迫性。突顯事態(tài)的嚴(yán)重性。當(dāng)受害者急于解決問(wèn)題時(shí)，往會(huì)帶來(lái)出乎意料的效果。

提供一定的誘因。例如偽裝成公司管理人員，承諾完成某項(xiàng)任務(wù)即可獲得獎(jiǎng)金，并與下個(gè)月的工資一同支付。這種方法能顯著提升成功率。

靈活掌握時(shí)機(jī)。釣魚(yú)攻擊方式應(yīng)多變。例如，如果企業(yè)正在進(jìn)行攻防演練，可以借此機(jī)會(huì)告知員工需要進(jìn)行安全檢查?；蛘咴诜ǘ偃张R近時(shí)，偽造符合常理的假期安排，從而不引起懷疑。

可以考慮使用多個(gè)木馬和C2服務(wù)器進(jìn)行遠(yuǎn)程控制。這樣可以增加攻擊的穩(wěn)定性和隱蔽性。

圖5 真實(shí)釣魚(yú)郵件示例圖

Part 05●??結(jié)語(yǔ)-釣魚(yú)攻擊防范?●

釣魚(yú)攻擊常見(jiàn)于偽裝成合法實(shí)體，引誘用戶(hù)進(jìn)入虛假網(wǎng)站提交敏感信息或點(diǎn)擊惡意程序，以達(dá)到攻擊目的。這類(lèi)攻擊方法多種多樣，必須結(jié)合特定場(chǎng)景，制定相應(yīng)的攻擊方案和引誘手法，配合精巧的木馬樣本技術(shù)，確保可信度，從而引誘目標(biāo)上鉤。防范釣魚(yú)攻擊的核心在于提升用戶(hù)和組織內(nèi)部的安全意識(shí)，進(jìn)行培訓(xùn)，避免點(diǎn)擊可疑鏈接或附件，并保持應(yīng)用程序的及時(shí)更新。

為應(yīng)對(duì)釣魚(yú)攻擊，需采取以下措施：

1、加強(qiáng)組織內(nèi)部的安全培訓(xùn)，提高員工識(shí)別和防范釣魚(yú)攻擊的能力。避免通過(guò)非官方渠道泄露社交媒體賬號(hào)，對(duì)需要與外部溝通的職位進(jìn)行安全培訓(xùn)，例如人事招聘HR、法務(wù)部人員等。

2、強(qiáng)制使用強(qiáng)密碼和雙因素認(rèn)證等方式保護(hù)個(gè)人賬號(hào)安全。防止敏感信息泄露。制定密碼更新策略，防范因過(guò)期密碼導(dǎo)致攻擊者登錄。

3、及時(shí)更新操作系統(tǒng)和應(yīng)用程序。安裝安全補(bǔ)丁，避免攻擊者利用已知漏洞進(jìn)行攻擊。

4、部署郵件服務(wù)器沙箱。使用沙箱特征庫(kù)掃描、威脅情報(bào)匹配、啟發(fā)式掃描和行為識(shí)別等手段，識(shí)別惡意文件和釣魚(yú)鏈接。保持內(nèi)網(wǎng)主機(jī)和殺軟沙箱的特征庫(kù)更新，避免老舊特征庫(kù)造成惡意文件執(zhí)行。

5、核實(shí)郵件內(nèi)容。在打開(kāi)外部文件前，先進(jìn)行殺軟掃描。對(duì)包含“福利”、“補(bǔ)貼”等字眼的郵件要謹(jǐn)慎，避免盲目下載和打開(kāi)未知附件。

6、注意檢查發(fā)件人的郵件地址和內(nèi)容。以辨識(shí)可疑郵件的真實(shí)性。

7、對(duì)新增的社交賬號(hào)保持警惕。通過(guò)熟悉的信息驗(yàn)證對(duì)方身份。

8、避免隨意打開(kāi)附件中的可執(zhí)行文件、Office文件和陌生后綴文件，不要直接點(diǎn)擊郵件鏈接。最好直接訪(fǎng)問(wèn)已知網(wǎng)站域名。若遇到不明鏈接或可疑網(wǎng)站，應(yīng)先確認(rèn)并驗(yàn)證后再進(jìn)行操作，可以請(qǐng)教IT人員或發(fā)件人。