紅藍對抗之郵件釣魚攻擊

作者： jumbo@騰訊安全應急響應中心
原文鏈接：https://mp.weixin.qq.com/s/YKZ6yWWxOhn2KjTV5lDP7w

前言

紅藍對抗越加普遍及重要，甚至成為了大型賽事，隨之?來的是防守方大量部署安全設備，如FW、WAF、IDS、IPS等，想要從Web端深?到對?內?已經困難重重。但是，?永遠是最?的弱點，在日漸增多的防護設備?前，釣?攻擊（Phishing）已經成為對抗中?種必不可少且非常有效的攻擊?法（近期也見到實際攻擊中針對HR的郵件釣魚攻擊），一旦有人中招，攻擊隊就直接能進?目標辦公?，這也是釣?的魅?之?。其實釣魚攻擊也一直是APT高級持續威脅的主要打點手段，網絡上公開的APT攻擊案例中超過80%都使用釣魚攻擊。

本?將以騰訊藍軍真實項?中的一部分細節為?家介紹?些釣??段和釣?話術。

Part 1. 釣魚手段

1.1 lnk

lnk?件，簡單理解為快捷?式，創建?式如下：

下圖為calc.exe的快捷?式的屬性信息，我們可以在“?標”欄寫???的惡意命令，如powershell上線命令：

?在實施釣?過程中，對于我們的calc.exe的快捷?式來說，?個??的計算機ico圖標，顯然看起來不像?個好玩意，因此可以嘗試在“屬性”中去更改該?件的圖標：

但是?系統?帶的ico去做?件圖標替換的話，有個弊端，即當替換的ico在?標機器上不存在時，就會出現類似空?ico圖標：

根據crazyman師傅所說，修改lnk的icon_location標志位，修改為相關后綴，系統即可?動聯想到對應的打開?式：

?如我的pdf默認是由edge瀏覽器打開，則在icon_location中設置為pdf后綴時，?件的ico也會自動顯示為edge瀏覽器打開的圖標，這樣可以達到?適配的效果：

當受害者中招打開我們的所謂的pdf，實則為惡意的快捷?式時，雙擊兩下，什么反應都沒有，可能會有?絲疑惑，因此可以當嘗試?powershell、mshta等?式上線時，我們可以更改如cobaltstrike?成的代碼，加上?段?動下載打開?份真的pdf，來達到逼真的效果。

下?的動圖，展示了打開?個快捷?式釣??件時，逼真的打開了真實的簡歷，然后在背后悄悄的上了線：

1.2 宏

在word中可以植?宏來達到運?宏上線的?的，?cobaltstrike也正好?帶了這種攻擊?式：

然后在word的視圖功能中植?相關宏：

但是此種辦法有個弊端，就是宏代碼是存在本地的，極易被殺軟查殺。

因此我們可以嘗試使?遠程加載模板的?式在進?宏加載。我們可以更改word中 \word_rels\settings.xml.rels內容來加載遠程模板，加載遠程模板打開word會有類似如下提示：

成功加載遠程模板：

并且，像cobaltstrike?成的宏代碼，使?的是AutoOpen進?觸發，這?可以嘗試使?AutoClose，即關閉word時觸發來達到?些殺軟、沙箱的繞過：

利?遠程模板，因為不具備惡意宏代碼，文件本身成功繞過了某殺軟。

并且cobaltstrike上線也毫無阻攔。

1.3 RLO

RLO，即Right-to-Left Override，我們可以在?件名中插?此類unicode字符，來達到?件名反轉的效果，如下圖就是?個插?Rlo字符后的?件名，看后綴是個txt：

但是看?件詳情?是個scr?件：

下圖展示了打開?個看似是png圖?后綴的?件，卻執?了notepad：

1.4 ?解壓

rar壓縮?件，可以把?件進?壓縮，然后運?后進??解壓的操作：

如果我們把?個惡意的?件和?個圖?組合在?起，打包運?后，程序進??解壓，看到的是?張圖?，但是后???程序已經悄悄運?了，這種效果如何？看下?的動圖展示：

1.5 ?解壓+RLO

上?介紹了?解壓和RLO，那如果兩者組合在?起呢？

我們把pe?件反轉成png后綴、修改pe?件的ico圖標，最后實施?解壓操作。即看起來是個圖?，后綴也是個圖?，打開也是個圖?，效果如何呢？

1.6 回執

當我們想要對從?上收集到的郵箱進?郵件釣?時，??堆郵箱，怎么確保對應的郵箱依然存活，?或者說哪些郵箱的釣?成功率?點？這時候就需要?到郵箱的回執功能，當開啟回執時，我們的郵件被對?已讀時，我們就會收到?份回執信息：

這種情況下，我們就可以對已讀的郵箱進?深?釣?。

Part 2. 釣魚話術

上?提到了很多釣?攻擊?段，但是就如word宏章節，如果不依賴漏洞的情況下，如何讓對?點擊啟?宏，如何讓對?信任你的?件，都需要話術的?撐。下?就來看看釣?的?些話術和?段。

2.1 SRC假漏洞

當?標企業存在類似SRC漏洞獎勵計劃時，我們可以去提交?個假漏洞，并把惡意?件附在其中，并說是漏洞復現程序：

有些同學就會說了，對SRC安全技術人員進行釣魚，這不是?投羅?嗎。當然，釣?安全?員，成功率極低。但是換位思考下，如果你是SRC審核?員，?個?帽?提交了核?應?，且有圖有真相的漏洞復現截圖的時候，這種情況下，明知道可能有惡意??的?險，也不得不去冒險，因為如果這是?個真的大漏洞的話，不及時處理可能會造成極大壞影響。

這里為了保證“漏洞”的有效性，特地讓程序隨機吐出看似逼真的數據，SRC審核?員，你還敢點擊?帽?的復現?具嗎？

當SRC審核?員遲遲不點擊的時候，可以施加壓力，站在更高的角度上來進?“漏洞督促”：

2.2 簡歷

簡歷投遞是?個百試不爽的釣?話術?段，從騰訊藍軍進?的遠程辦公安全演習也能窺之??。

這?再提?句，?定要逼真，?如在簡歷釣?郵件中，可以留上你的名字、?機號碼、學校等信息。

我們討論下，為什么簡歷投遞釣魚在騰訊藍軍的遠程辦公安全演習、其他紅藍對抗項目中效果出類拔萃呢？我覺得有如下幾點：

1、首先，我們的郵箱從哪里來？郵箱收集可以從領英、v2ex、搜索引擎等渠道獲取，那為什么會在上述地方出現郵箱地址？大多數原因都是用人單位急招人，項目急需人，因此會在各平臺留下簡歷投遞的郵箱，而又正好被攻擊者獲取，而受害者又相信投遞者都是善良的，還能解決招人的燃眉之急，在這種情況下，提高了簡歷投遞釣魚的成功率；

2、如果你的簡歷郵件寫的足夠漂亮，對于一個公司、面試官來說，一個好的人才，怎能輕易放過？

3、別忘了，收簡歷的人大多數是什么人，是HR。那我們繼續想想，為什么HR不提防？首先，HR大多數是女生，女生比較善良、不設防，又非技術人員，這兩者組合在一起，絕對是屬于安全意識最薄弱的人之一了；

4、簡歷擁有分發屬性。我們在多次釣魚項目中發現，當你投遞的簡歷到非對應項目人的郵箱里時，他會幫你轉發，甚至有些熱心的HR還會幫你錄入到內部人才庫，這相當于一下子從不可信變成內部可信了，這也是簡歷投遞釣魚有意思的地方。