五分鐘技術(shù)趣談 | 淺析紅隊攻擊之釣魚技術(shù)

作者：周宇，單位：中移物聯(lián)網(wǎng)有限公司

隨著安全防護(hù)技術(shù)水平的提升和安全設(shè)備對攻擊行為檢測能力的增強(qiáng)，傳統(tǒng)的WEB攻擊方式變得越來越難以有效地穿越防線。因此，釣魚攻擊逐漸成為紅隊活動中備受關(guān)注的焦點(diǎn)。與傳統(tǒng)的攻擊手段相比，釣魚攻擊具備更高的成功率，常常能夠達(dá)到較好的攻擊效果。這是因為釣魚攻擊不直接依賴技術(shù)漏洞，而是利用心理和行為傾向來欺騙目標(biāo)。舉例來說，釣魚攻擊可以通過偽裝成合法實(shí)體發(fā)送虛假電子郵件，誘使受害者提供敏感信息或點(diǎn)擊惡意鏈接。攻擊者也可能創(chuàng)建外觀酷似合法網(wǎng)站的假冒網(wǎng)站，引誘人們輸入敏感數(shù)據(jù)。另外，攻擊者還可能通過電話、社交媒體或即時消息偽裝身份，誘導(dǎo)受害者透露機(jī)密信息或執(zhí)行惡意操作。更為針對性的是"Spear Phishing"，攻擊者會根據(jù)受害者的情況量身定制釣魚內(nèi)容，以增加說服力。

Part 01●??目標(biāo)群體信息收集??●

釣魚攻擊在實(shí)施之前，務(wù)必充分進(jìn)行前期信息收集和整合，以確保不被察覺。這包括搜集目標(biāo)企業(yè)的多個方面信息，如招聘情況、招投標(biāo)記錄、法律爭議、供應(yīng)鏈信息、員工通訊信息、社交媒體賬號、域名情況，以及企業(yè)內(nèi)部的組織架構(gòu)和高管姓名等。

在釣魚攻擊中，最理想的情況是在信息收集階段獲得某位企業(yè)員工或管理員的電子郵箱登錄憑據(jù)。另外，如果能夠獲取某個Web服務(wù)器的權(quán)限，從其配置文件中找到郵箱相關(guān)信息也是一種成功的方法。此外，獲取辦公系統(tǒng)的權(quán)限或登錄憑據(jù)，尤其是系統(tǒng)中存在工作流程或郵件往來功能，將為攻擊者提供合法身份，從而更加隱蔽地進(jìn)行攻擊。

在進(jìn)行這些步驟時，請確保采取隱蔽的方法，以免引起注意。信息收集是釣魚攻擊成功的基礎(chǔ)，因此在這一階段的小心謹(jǐn)慎至關(guān)重要。

常規(guī)收集途徑不限于愛企查、git、威脅情報、語雀等。

圖1 hunter郵箱收集平臺圖

Part 02●??釣魚攻擊攻擊類型?●

釣魚攻擊的策略可以簡化為以下幾種主要方式：

? 社交釣魚：這種方法適用于信息收集階段，當(dāng)發(fā)現(xiàn)目標(biāo)已在互聯(lián)網(wǎng)上泄露聯(lián)系方式時，例如企業(yè)在釘釘、QQ、微信等社交平臺上的存在。攻擊者可能利用這些信息，如公司的釘釘或QQ群、員工的手機(jī)號，甚至通過手機(jī)號獲取社交賬號好友關(guān)系等，來進(jìn)行欺騙。社交平臺上的釣魚攻擊通常涉及發(fā)送病毒鏈接或誘騙性消息，以下載惡意軟件、竊取用戶機(jī)密信息。

? 郵件釣魚：如果在信息收集階段獲取了目標(biāo)的招聘、法務(wù)糾紛、招投標(biāo)等信息，攻擊者可以嘗試進(jìn)行郵件釣魚攻擊。這種方法適用于目標(biāo)在互聯(lián)網(wǎng)上公開發(fā)布信息的情況。電子郵件釣魚是目前最常見的攻擊方式之一。攻擊者可以發(fā)送偽造的郵件，假扮成銀行、電信公司、政府機(jī)構(gòu)等，以獲取敏感信息或傳遞惡意軟件。

? 網(wǎng)站欺詐：這種方式利用郵件、社交等渠道，通過友好和吸引人的方式，誘使用戶點(diǎn)擊鏈接，將目標(biāo)帶到偽裝成合法站點(diǎn)的地方，然后獲取用戶的賬號和密碼。

? 被動釣魚：這種方法涉及公開信息，如在GitHub代碼倉庫、Python庫或其他公開文檔中散布虛假信息，以迷惑目標(biāo)用戶下載、安裝或運(yùn)行。被動釣魚適用于大規(guī)模攻防演練或APT攻擊等情況。

釣魚攻擊可以進(jìn)一步分為以下幾種類型：

? 魚叉攻擊：魚叉攻擊主要針對特定個體，攻擊者制定特定的攻擊策略。與廣泛撒網(wǎng)不同，對大范圍釣魚攻擊的發(fā)現(xiàn)概率更高。紅隊在實(shí)際操作中通常更關(guān)注特定群體，如運(yùn)維人員。這些人員通常存放有系統(tǒng)臺賬，而這些臺賬往往包含重要業(yè)務(wù)系統(tǒng)的信息。一旦成功，將為攻擊者帶來重要的內(nèi)網(wǎng)突破路徑。

? 水坑攻擊：水坑攻擊在目標(biāo)必經(jīng)的路徑上設(shè)置陷阱，等待目標(biāo)觸發(fā)。一旦目標(biāo)觸發(fā)陷阱，攻擊者將在目標(biāo)主機(jī)上植入惡意軟件。這種方法通常利用組織內(nèi)部的業(yè)務(wù)系統(tǒng)漏洞或權(quán)限，通過放置惡意代碼，一旦正常用戶訪問，就會觸發(fā)惡意代碼，進(jìn)而獲取目標(biāo)主機(jī)的權(quán)限。

? 鯨釣攻擊：鯨釣攻擊主要針對企業(yè)高層管理人員。這些人員往往沒有像普通員工那樣接受網(wǎng)絡(luò)安全意識培訓(xùn)，因此對釣魚攻擊的防范意識較低，更容易受到攻擊。攻擊高層管理人員成功后，攻擊者獲取的信息價值更高，危害更大。

Part 03●?準(zhǔn)備話術(shù)、釣魚網(wǎng)站及魚餌?●

3.1 話術(shù)

釣魚攻擊的成功在很大程度上依賴于精心構(gòu)建的話術(shù)，這在整個釣魚過程中占據(jù)著關(guān)鍵地位。不同的釣魚話術(shù)針對不同的目標(biāo)，產(chǎn)生不同的攻擊效果。在策劃釣魚攻擊之前，對被釣魚對象有深入的了解是不可或缺的。這包括獲取目標(biāo)企業(yè)員工的聯(lián)系方式以及了解他們是否在企業(yè)內(nèi)部。對目標(biāo)的職位和所在部門進(jìn)行準(zhǔn)確判斷，比如確定是否在公司擔(dān)任行政職務(wù)，確認(rèn)辦公設(shè)備是否連接到公司網(wǎng)絡(luò)，了解目標(biāo)在公司中的職位以及設(shè)備是否安裝了殺軟，以及殺軟的具體類型。

3.2 魚餌附件進(jìn)行免殺

在釣魚攻擊中，克服的難題之一始終是如何對抗殺軟。在計算機(jī)普遍安裝了個人殺軟，企業(yè)采用沙箱和企業(yè)級EDR的情況下，未經(jīng)處理的木馬程序難以有效部署或執(zhí)行。為了繞過這些保護(hù)措施，定制化的免殺木馬應(yīng)運(yùn)而生，旨在能夠逃避目標(biāo)沙箱檢查和殺軟的查殺。最理想的情況是，在收集信息或與受害者溝通時，能夠探明目標(biāo)是否裝備有殺軟，以及使用的殺軟類型，從而制作相應(yīng)的免殺木馬樣本。雖然通過誘使目標(biāo)關(guān)閉殺軟是一種簡單的方法，但現(xiàn)實(shí)情況通常是攻擊者難以獲知目標(biāo)的殺軟情況，所有操作都在黑盒的狀態(tài)下進(jìn)行。為確保釣魚攻擊的成功率，唯有制作強(qiáng)大的免殺工具，以便能夠繞過更多種類的殺軟。

想要制作免殺木馬，就必須深入了解殺軟的工作原理。通常，殺軟采用靜態(tài)分析和動態(tài)分析兩種方法。靜態(tài)分析時，殺軟會檢查文件的二進(jìn)制代碼，掃描其中的特定模式和指令序列，以便識別潛在的惡意行為，包括尋找已知的惡意簽名和計算機(jī)病毒，以及判斷文件是否表現(xiàn)出惡意特征等。靜態(tài)免殺即攻擊者利用技巧，使得他們的惡意軟件在靜態(tài)分析下不被殺軟察覺，方法包括文件格式修改、使用加殼器或代碼混淆器、隱藏惡意代碼等。而動態(tài)分析則是在運(yùn)行時監(jiān)測程序行為，觀察系統(tǒng)調(diào)用、網(wǎng)絡(luò)流量、文件操作和其他活動。這有助于殺軟識別使用代碼混淆、加密或其他技術(shù)掩蓋的惡意行為。動態(tài)免殺即攻擊者運(yùn)用技巧，使得他們的惡意軟件在動態(tài)分析下不被殺軟發(fā)現(xiàn)，方法包括虛擬化技術(shù)、進(jìn)程注入、代碼混淆、反調(diào)試技術(shù)、反沙箱技術(shù)、動態(tài)生成惡意代碼等，以逃避殺軟的分析功能。常見的免殺方法有：免殺加載器、分離免殺、加殼免殺、修改特征免殺。

3.3 魚餌附件進(jìn)行偽裝

偽裝是指通過各種手段對釣魚樣本進(jìn)行外觀上的偽裝，以使其具有不同于實(shí)際內(nèi)容的外觀特征。舉例來說，可以將可執(zhí)行文件的外觀偽裝成更類似于PDF文件，或者通過替換木馬可執(zhí)行文件的.ico圖標(biāo)，使其呈現(xiàn)出官方可執(zhí)行文件的外觀。在進(jìn)行信息收集階段，收集受害者所屬組織的官方網(wǎng)站圖標(biāo)，并將其應(yīng)用于木馬，以降低目標(biāo)的警惕性。然而，如果運(yùn)行文件后沒有出現(xiàn)任何反應(yīng)，這可能引發(fā)對方的懷疑。在這種情況下，就需要對木馬的圖標(biāo)和文件信息進(jìn)行修改，將正常文件與木馬相互綁定，使用戶在運(yùn)行時會釋放出預(yù)先準(zhǔn)備的正常文件。紅隊需要掌握釣魚文件制作技術(shù)，以減輕目標(biāo)的戒心。以下是幾種常見的方法：

1、文件外觀偽裝：修改文件的頭部信息或特定部分，使其在外觀上更像其他類型的文件，例如將可執(zhí)行文件偽裝成文檔、圖像或音頻文件。

2、圖標(biāo)替換：將木馬可執(zhí)行文件的圖標(biāo)替換為常見、無害程序的圖標(biāo)，以使其在文件瀏覽器中看起來與正常文件相似。

3、捆綁文件：將木馬與一個或多個合法文件綁定在一起，使用戶運(yùn)行文件時同時釋放出正常文件，以掩蓋木馬的存在。

4、動態(tài)加載：在運(yùn)行時，木馬可以動態(tài)下載其他惡意組件，從而不會被靜態(tài)分析檢測出來。

5、代碼混淆：對木馬代碼進(jìn)行混淆，使其難以被靜態(tài)分析工具解讀，從而降低檢測風(fēng)險。

6、虛擬化技術(shù)：使用虛擬化技術(shù)將木馬代碼包裝在虛擬環(huán)境中運(yùn)行，使其行為更接近正常程序，以逃避動態(tài)分析檢測。

7、反沙箱技術(shù)：檢測是否在沙箱環(huán)境中運(yùn)行，如果是，則木馬可能會采取不同的行為，以躲避檢測。

8、反調(diào)試技術(shù)：木馬可能會監(jiān)測是否在調(diào)試環(huán)境中運(yùn)行，如果是，則采取措施阻止調(diào)試操作。

這些方法可以在釣魚攻擊中用來制作免殺木馬，以便更好地欺騙目標(biāo)并繞過安全措施。

圖3 修改附件圖標(biāo)示意圖

圖4 自解壓及后綴反轉(zhuǎn)技術(shù)示意圖

3.4 釣魚網(wǎng)站

釣魚網(wǎng)站是一種網(wǎng)絡(luò)欺詐行為，旨在誘導(dǎo)用戶提供個人敏感信息，如用戶名、密碼、信用卡信息等，通常是通過偽裝成合法和可信賴的網(wǎng)站。攻擊者會創(chuàng)建看似真實(shí)的網(wǎng)站，外觀和功能與合法網(wǎng)站非常相似，以便欺騙用戶在網(wǎng)站上輸入他們的敏感信息。一旦用戶提供了這些信息，攻擊者就可以利用這些信息進(jìn)行不法活動，如盜取身份、進(jìn)行金融欺詐等。

釣魚網(wǎng)站通常使用社會工程學(xué)和偽裝技術(shù)，通過電子郵件、社交媒體、即時消息等渠道將受害者引導(dǎo)至這些網(wǎng)站。例如，攻擊者可能會發(fā)送看似合法的電子郵件，要求用戶點(diǎn)擊鏈接前往某個網(wǎng)站，然后在該網(wǎng)站上輸入他們的登錄信息。這些電子郵件通常會偽裝成銀行、電子支付平臺、社交媒體或其他常用服務(wù)的通知，以引起受害者的興趣和信任。

為了識別釣魚網(wǎng)站，用戶需要保持警惕，注意以下幾點(diǎn)：

URL檢查：在點(diǎn)擊鏈接之前，仔細(xì)檢查鏈接的URL。攻擊者可能會使用與真實(shí)網(wǎng)站類似的域名，但可能會有細(xì)微的差異或錯字。

安全證書：確保網(wǎng)站使用了合法的安全證書。大多數(shù)合法網(wǎng)站會在瀏覽器中顯示一個鎖形圖標(biāo)，表示連接是加密的。

謹(jǐn)慎點(diǎn)擊鏈接：不要在未經(jīng)驗證的電子郵件、短信或社交媒體消息中點(diǎn)擊鏈接。最好手動輸入網(wǎng)站的URL，而不是通過點(diǎn)擊鏈接進(jìn)入。

不提供敏感信息：永遠(yuǎn)不要在不確定網(wǎng)站上輸入敏感信息，特別是密碼、信用卡信息等。

使用安全工具：使用安全軟件和防病毒工具可以幫助檢測和阻止訪問惡意網(wǎng)站。

總之，釣魚網(wǎng)站是一種網(wǎng)絡(luò)欺詐行為，通過偽裝成合法網(wǎng)站來誘使用戶泄露敏感信息。用戶應(yīng)該保持警惕，避免在未經(jīng)驗證的情況下提供個人信息，以確保網(wǎng)絡(luò)安全。

Part 04●??投放誘餌?●

完成上述任務(wù)后，木馬將以多種方式傳遞到目標(biāo)系統(tǒng)，然后靜靜等待目標(biāo)上鉤。目前是否成功上鉤取決于釣魚話術(shù)是否足夠迷惑，以至于讓目標(biāo)深信不疑。

以下是幾種提高成功概率的策略：

創(chuàng)造適當(dāng)?shù)木o迫感。例如偽造可能引發(fā)嚴(yán)重后果的事件，或者冒充一個無法拒絕的身份，比如組織內(nèi)高級領(lǐng)導(dǎo)、第三方運(yùn)維人員或求職者。

強(qiáng)調(diào)時間的緊迫性。突顯事態(tài)的嚴(yán)重性。當(dāng)受害者急于解決問題時，往會帶來出乎意料的效果。

提供一定的誘因。例如偽裝成公司管理人員，承諾完成某項任務(wù)即可獲得獎金，并與下個月的工資一同支付。這種方法能顯著提升成功率。

靈活掌握時機(jī)。釣魚攻擊方式應(yīng)多變。例如，如果企業(yè)正在進(jìn)行攻防演練，可以借此機(jī)會告知員工需要進(jìn)行安全檢查?；蛘咴诜ǘ偃张R近時，偽造符合常理的假期安排，從而不引起懷疑。

可以考慮使用多個木馬和C2服務(wù)器進(jìn)行遠(yuǎn)程控制。這樣可以增加攻擊的穩(wěn)定性和隱蔽性。

圖5 真實(shí)釣魚郵件示例圖

Part 05●??結(jié)語-釣魚攻擊防范?●

釣魚攻擊常見于偽裝成合法實(shí)體，引誘用戶進(jìn)入虛假網(wǎng)站提交敏感信息或點(diǎn)擊惡意程序，以達(dá)到攻擊目的。這類攻擊方法多種多樣，必須結(jié)合特定場景，制定相應(yīng)的攻擊方案和引誘手法，配合精巧的木馬樣本技術(shù)，確?？尚哦?，從而引誘目標(biāo)上鉤。防范釣魚攻擊的核心在于提升用戶和組織內(nèi)部的安全意識，進(jìn)行培訓(xùn)，避免點(diǎn)擊可疑鏈接或附件，并保持應(yīng)用程序的及時更新。

為應(yīng)對釣魚攻擊，需采取以下措施：

1、加強(qiáng)組織內(nèi)部的安全培訓(xùn)，提高員工識別和防范釣魚攻擊的能力。避免通過非官方渠道泄露社交媒體賬號，對需要與外部溝通的職位進(jìn)行安全培訓(xùn)，例如人事招聘HR、法務(wù)部人員等。

2、強(qiáng)制使用強(qiáng)密碼和雙因素認(rèn)證等方式保護(hù)個人賬號安全。防止敏感信息泄露。制定密碼更新策略，防范因過期密碼導(dǎo)致攻擊者登錄。

3、及時更新操作系統(tǒng)和應(yīng)用程序。安裝安全補(bǔ)丁，避免攻擊者利用已知漏洞進(jìn)行攻擊。

4、部署郵件服務(wù)器沙箱。使用沙箱特征庫掃描、威脅情報匹配、啟發(fā)式掃描和行為識別等手段，識別惡意文件和釣魚鏈接。保持內(nèi)網(wǎng)主機(jī)和殺軟沙箱的特征庫更新，避免老舊特征庫造成惡意文件執(zhí)行。

5、核實(shí)郵件內(nèi)容。在打開外部文件前，先進(jìn)行殺軟掃描。對包含“福利”、“補(bǔ)貼”等字眼的郵件要謹(jǐn)慎，避免盲目下載和打開未知附件。

6、注意檢查發(fā)件人的郵件地址和內(nèi)容。以辨識可疑郵件的真實(shí)性。

7、對新增的社交賬號保持警惕。通過熟悉的信息驗證對方身份。

8、避免隨意打開附件中的可執(zhí)行文件、Office文件和陌生后綴文件，不要直接點(diǎn)擊郵件鏈接。最好直接訪問已知網(wǎng)站域名。若遇到不明鏈接或可疑網(wǎng)站，應(yīng)先確認(rèn)并驗證后再進(jìn)行操作，可以請教IT人員或發(fā)件人。