红蓝对抗之邮件钓鱼攻击 – 作者:腾讯安全平台部

文|腾讯蓝军 jumbo

红蓝对抗越加普遍及重要,甚至成为了大型赛事,随之⽽来的是防守方大量部署安全设备,如FW、WAF、IDS、IPS等,想要从Web端深⼊到对⽅内⽹已经困难重重。但是,⼈永远是最⼤的弱点,在日渐增多的防护设备⾯前,钓⻥攻击(Phishing)已经成为对抗中⼀种必不可少且非常有效的攻击⼿法(近期也见到实际攻击中针对HR的邮件钓鱼攻击),一旦有人中招,攻击队就直接能进⼊目标办公⽹,这也是钓⻥的魅⼒之⼀。其实钓鱼攻击也一直是APT高级持续威胁的主要打点手段,网络上公开的APT攻击案例中超过80%都使用钓鱼攻击。

本⽂将以腾讯蓝军真实项⽬中的一部分细节为⼤家介绍⼀些钓⻥⼿段和钓⻥话术。

⼀、钓鱼手段

1.1 lnk

lnk⽂件,简单理解为快捷⽅式,创建⽅式如下:

v2-bd194c13bbdb7b3062d4b3c014e4657b_1440w.jpg

下图为calc.exe的快捷⽅式的属性信息,我们可以在“⽬标”栏写⼊⾃⼰的恶意命令,如powershell上线命令:

v2-9cf0ac5ea69dc78478b266f9afb884a1_1440w.jpg

⽽在实施钓⻥过程中,对于我们的calc.exe的快捷⽅式来说,⼀个⼤⼤的计算机ico图标,显然看起来不像⼀个好玩意,因此可以尝试在“属性”中去更改该⽂件的图标:

v2-70b3bea7881ba965777cbc937f03ebdd_1440w.jpg

但是⽤系统⾃带的ico去做⽂件图标替换的话,有个弊端,即当替换的ico在⽬标机器上不存在时,就会出现类似空⽩ico图标:

v2-a8318d330bb336126300e1db8bd0d7f7_1440w.jpg

根据crazyman师傅所说,修改lnk的icon_location标志位,修改为相关后缀,系统即可⾃动联想到对应的打开⽅式:

v2-cde57d28d7aaf69cc7fdd1ecf3346dd2_1440w.jpg

⽐如我的pdf默认是由edge浏览器打开,则在icon_location中设置为pdf后缀时,⽂件的ico也会自动显示为edge浏览器打开的图标, 这样可以达到⾃适配的效果:

v2-ba43bea1657a44782c589f0fdf253b4e_1440w.jpg

当受害者中招打开我们的所谓的pdf,实则为恶意的快捷⽅式时,双击两下,什么反应都没有,可能会有⼀丝疑惑,因此可以当尝试⽤powershell、mshta等⽅式上线时,我们可以更改如cobaltstrike⽣成的代码,加上⼀段⾃动下载打开⼀份真的pdf,来达到逼真的效果。

下⾯的动图,展示了打开⼀个快捷⽅式钓⻥⽂件时,逼真的打开了真实的简历,然后在背后悄悄的上了线:

1599219858.gif!small

1.2 宏

在word中可以植⼊宏来达到运⾏宏上线的⽬的,⽽cobaltstrike也正好⾃带了这种攻击⽅式:

v2-e947c43e88c16a2f1dfb38134164032f_1440w.jpg

然后在word的视图功能中植⼊相关宏:

v2-fe2774c1b2ea9594835cdef72df310e2_1440w.jpg

但是此种办法有个弊端,就是宏代码是存在本地的,极易被杀软查杀。
因此我们可以尝试使⽤远程加载模板的⽅式在进⾏宏加载。我们可以更改word中 \word_rels\settings.xml.rels内容来加载远程模板,加载远程模板打开word会有类似如下提示:

v2-72eb1aa6099886ffdf171a654ee674cd_1440w.jpg

成功加载远程模板:

v2-2223dd6728ab763269f586e119c5ef1d_1440w.jpg

并且,像cobaltstrike⽣成的宏代码,使⽤的是AutoOpen进⾏触发,这⾥可以尝试使⽤AutoClose,即关闭word时触发来达到⼀些杀软、沙箱的绕过:

v2-771c43186dcdfc60231354d598cdfcb2_1440w.jpg

利⽤远程模板,因为不具备恶意宏代码,文件本身成功绕过了某杀软:

图片[13]-红蓝对抗之邮件钓鱼攻击 – 作者:腾讯安全平台部-安全小百科

并且cobaltstrike上线也毫无阻拦:

图片[14]-红蓝对抗之邮件钓鱼攻击 – 作者:腾讯安全平台部-安全小百科

1.3 RLO

RLO,即Right-to-Left Override,我们可以在⽂件名中插⼊此类unicode字符,来达到⽂件名反转的效果, 如下图就是⼀个插⼊Rlo字符后的⽂件名,看后缀是个txt:

v2-18ceaa74f3315a501eca607b869c814f_1440w.jpg

但是看⽂件详情⼜是个scr⽂件:

v2-c89f64ad08fa3b6192bc756b13d5465d_1440w.jpg

下图展示了打开⼀个看似是png图⽚后缀的⽂件,却执⾏了notepad:

1599219905.gif!small

1.4 ⾃解压

rar压缩⽂件,可以把⽂件进⾏压缩,然后运⾏后进⾏⾃解压的操作:

v2-fae3a95ac8044c815e3eb743a23ae647_1440w.jpg

如果我们把⼀个恶意的⽂件和⼀个图⽚组合在⼀起,打包运⾏后,程序进⾏⾃解压,看到的是⼀张图⽚,但是后⾯⽊⻢程序已经悄悄运⾏了,这种效果如何?看下⾯的动图展示:图片[19]-红蓝对抗之邮件钓鱼攻击 – 作者:腾讯安全平台部-安全小百科

1.5 ⾃解压+RLO

上⾯介绍了⾃解压和RLO,那如果两者组合在⼀起呢?

我们把pe⽂件反转成png后缀、修改pe⽂件的ico图标,最后实施⾃解压操作。 即看起来是个图⽚,后缀也是个图⽚,打开也是个图⽚,效果如何呢?

1599219963.gif!small

1.6 回执

当我们想要对从⽹上收集到的邮箱进⾏邮件钓⻥时,⼀⼤堆邮箱,怎么确保对应的邮箱依然存活,⼜或者说哪些邮箱的钓⻥成功率⾼点?这时候就需要⽤到邮箱的回执功能,当开启回执时,我们的邮件被对⽅已读时,我们就会收到⼀份回执信息:

v2-e0d7bf1f490936cc6d54f21704d41bc6_1440w.jpg

这种情况下,我们就可以对已读的邮箱进⾏深⼊钓⻥。

⼆、钓⻥话术

上⾯提到了很多钓⻥攻击⼿段,但是就如word宏章节,如果不依赖漏洞的情况下,如何让对⽅点击启⽤宏,如何让对⽅信任你的⽂件,都需要话术的⽀撑。下⾯就来看看钓⻥的⼀些话术和⼿段。

2.1 SRC假漏洞

当⽬标企业存在类似SRC漏洞奖励计划时,我们可以去提交⼀个假漏洞,并把恶意⽂件附在其中,并说是漏洞复现程序:

图片[22]-红蓝对抗之邮件钓鱼攻击 – 作者:腾讯安全平台部-安全小百科

有些同学就会说了,对SRC安全技术人员进行钓鱼,这不是⾃投罗⽹吗。当然,钓⻥安全⼈员,成功率极低。但是换位思考下,如果你是SRC审核⼈员,⼀个⽩帽⼦提交了核⼼应⽤,且有图有真相的漏洞复现截图的时候,这种情况下,明知道可能有恶意⽊⻢的⻛险,也不得不去冒险,因为如果这是⼀个真的大漏洞的话,不及时处理可能会造成极大坏影响。

这里为了保证“漏洞”的有效性,特地让程序随机吐出看似逼真的数据,SRC审核⼈员,你还敢点击⽩帽⼦的复现⼯具吗?

v2-8f4eb9c8096c6e52156a5fa446cc4098_1440w.jpg

当SRC审核⼈员迟迟不点击的时候,可以施加压力,站在更高的角度上来进⾏“漏洞督促”:

v2-38f3ef56ee92813b183b06abef7ff5e8_1440w.jpg

2.2 简历

简历投递是⼀个百试不爽的钓⻥话术⼿段,从腾讯蓝军进⾏的远程办公安全演习也能窥之⼀⼆。

v2-a10417d5574444fa6df113e1fb2e293a_1440w.jpg

这⾥再提⼀句,⼀定要逼真,⽐如在简历钓⻥邮件中,可以留上你的名字、⼿机号码、学校等信息。

我们讨论下,为什么简历投递钓鱼在腾讯蓝军的远程办公安全演习、其他红蓝对抗项目中效果出类拔萃呢?我觉得有如下几点:

1、首先,我们的邮箱从哪里来,邮箱收集可以从领英、v2ex、搜索引擎等渠道获取,那为什么会在上述地方出现邮箱地址?大多数原因都是用人单位急招人,项目急需人,因此会在各平台留下简历投递的邮箱,而又正好被攻击者获取,而受害者又相信投递者都是善良的,还能解决招人的燃眉之急,在这种情况下,提高了简历投递钓鱼的成功率;

2、如果你的简历邮件写的足够漂亮,对于一个公司、面试官来说,一个好的人才,怎能轻易放过?

3、别忘了,收简历的人大多数是什么人,是HR。那我们继续想想,为什么HR不提防?首先,HR大多数是女生,女生比较善良、不设防,又非技术人员,这两者组合在一起,绝对是属于安全意识最薄弱的人之一了;

4、简历拥有分发属性。我们在多次钓鱼项目中发现,当你投递的简历到非对应项目人的邮箱里时,他会帮你转发,甚至有些热心的HR还会帮你录入到内部人才库,这相当于一下子从不可信变成内部可信了,这也是简历投递钓鱼有意思的地方。

2.3 宏钓⻥

在上⾯钓⻥⼿段中的宏钓⻥攻击中,如何让受害者点击允许运⾏宏呢?

我们可以尝试使⽤如下⼿段,背景为⼀个虚化的简历图⽚,然后在上⽅再加上⼀段⽂字,意思告诉受害者,这是⼀份简历,但是因为你没点击宏运⾏,所以看不清,要想看清,请点击运⾏宏:

图片[26]-红蓝对抗之邮件钓鱼攻击 – 作者:腾讯安全平台部-安全小百科

2.4 合作

合作是⼀个公司发展必不可少的,我们可以在⽹站下⽅找⼀些合作邮箱,以合作的名义去进⾏合作邮件钓⻥。

并且,在下⾯的案例中,笔者伪造的公司是跟受害者公司是⼀个区域的,因为如果你随便找了个其他地域的公司,受害者公司业务没覆盖到那边的话,很可能就不会理会你的邮件。

v2-dfaed4a9fb23cf2bfca132d05de4441f_1440w.jpg

2.5 可信站点附件中转

我们进⾏钓⻥攻击时,会常常把⽊⻢直接放在邮件正⽂中,但是对⽅邮件⽹关可能有杀软沙箱,会拦截带有恶意⽂件的邮箱,这时候可以尝试对⽂件进⾏加密处理。

除了加密处理外,还可以使⽤可信站点作为中转,⽐如我准备钓⻥的员⼯是{domain}.com公司下的,那如果我们把附件传到*.{domain}.com域下的话,当对⽅看到下载地址是{domain}.com域的话,下载点击的成功率是不是更⼤了点呢?是不是有点像XSS?

v2-47bdafbb276b70c3e9789f326a874661_1440w.jpg

2.6 技术交流

技术⼈员,最喜欢的莫过于有个志同道合的朋友⼀起交流技术。

下图钓⻥话术⼿段,就是伪造⼀个跟受害者研究同个技术的技术交流邮件,来进⾏钓⻥欺骗:

v2-1314bb7229b865a770b328ed604460d2_1440w.jpg

2.7 钓⻥⽹站

如果能获取到对⽅的账号密码,那肯定是极其不错的。

常⻅的话术有:
1、大型安全演练期间,请打补丁;
2、公司福利活动,请登录下载领取;
……

这里我们的钓⻥⼿段为想要获取该公司使⽤的某个平台的账号密码,因此我们发的钓⻥邮件是跟该平台有所关系,即平台升级:

图片[30]-红蓝对抗之邮件钓鱼攻击 – 作者:腾讯安全平台部-安全小百科

并且购买⼀个相似域名,编写⼀摸⼀样的登录⻚⾯:

v2-8b20721af77b314f8ac3c1b74fdd6ddb_1440w.jpg

并且访问后做引导,告知让他登录更新:

v2-e2e554bd07497cf44ae7b1b5f0d3f28c_1440w.jpg

发现该平台使⽤了多因⼦认证,Token还有1分钟有效期,因此再次编写监控程序,当监控到有⼈输⼊账号密码,就进⾏邮件提醒,最后,顺利获取到受害者的账号密码:

v2-7cf767a462dc49a3ee004d1742248204_1440w.jpg

2.8 第三⽅平台

很多公司都会在⽐如拉勾⽹、智联招聘进⾏⼯作招聘,这种情况下,我们也可以在这些第三⽅平台上, 与面试官⾯对⾯的沟通交流,取得信任,最后进⾏钓⻥攻击:

v2-b888ea05b6dc590fd35de1a56eaf6883_1440w.jpg

2.9 加好友

在⽇常⽣活中,只有你多跟别⼈沟通,⼈家才会愿意跟你聊天,钓⻥亦然。

我们可以多加些受害者的项⽬群、聊天群,甚⾄是加⾥⾯的好友,多聊聊天,让⼤家记住你,觉得你是个“好⼈”,就可以为后续的钓⻥做铺垫,提⾼钓⻥成功率:

图片[35]-红蓝对抗之邮件钓鱼攻击 – 作者:腾讯安全平台部-安全小百科

的图⽚展示了当与受害者“交流沟通”⼀段时间后,已经完全“掌控”了对⽅,甚⾄对⽅在周末问我要简历时,为了防⽌客户机周末不间断的关机休眠,特地美名其⽈的说不想打扰到对⽅,等到⼯作⽇再投递相关“⽊⻢”:

v2-08dad39ac7dfca74f5252fbb2bfa5fb5_1440w.jpg

三、总结

钓⻥⼿段层出不穷,了解钓⻥⼿段是在攻防演习⼤环境下必不可少的技能之⼀。本⽂从真实项⽬中提取出来的钓⻥⼿段、钓⻥话术给读者介绍了钓⻥中的管中窥豹。

⼈永远是最⼤的弱点,未知攻,焉知防。以攻促防希望能给安全建设带来帮助,祝愿人人都可以识别骗局,保护好自己和公司。

文中涉及的全部信息,只限用于技术交流和安全教育,切勿用于非法用途。

来源:freebuf.com 2020-09-04 19:50:18 by: 腾讯安全平台部

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论