红蓝对抗之邮件钓鱼攻击

作者： jumbo@腾讯安全应急响应中心
原文链接：https://mp.weixin.qq.com/s/YKZ6yWWxOhn2KjTV5lDP7w

前言

红蓝对抗越加普遍及重要，甚至成为了大型赛事，随之⽽来的是防守方大量部署安全设备，如FW、WAF、IDS、IPS等，想要从Web端深⼊到对⽅内⽹已经困难重重。但是，⼈永远是最⼤的弱点，在日渐增多的防护设备⾯前，钓⻥攻击（Phishing）已经成为对抗中⼀种必不可少且非常有效的攻击⼿法（近期也见到实际攻击中针对HR的邮件钓鱼攻击），一旦有人中招，攻击队就直接能进⼊目标办公⽹，这也是钓⻥的魅⼒之⼀。其实钓鱼攻击也一直是APT高级持续威胁的主要打点手段，网络上公开的APT攻击案例中超过80%都使用钓鱼攻击。

本⽂将以腾讯蓝军真实项⽬中的一部分细节为⼤家介绍⼀些钓⻥⼿段和钓⻥话术。

Part 1. 钓鱼手段

1.1 lnk

lnk⽂件，简单理解为快捷⽅式，创建⽅式如下：

下图为calc.exe的快捷⽅式的属性信息，我们可以在“⽬标”栏写⼊⾃⼰的恶意命令，如powershell上线命令：

⽽在实施钓⻥过程中，对于我们的calc.exe的快捷⽅式来说，⼀个⼤⼤的计算机ico图标，显然看起来不像⼀个好玩意，因此可以尝试在“属性”中去更改该⽂件的图标：

但是⽤系统⾃带的ico去做⽂件图标替换的话，有个弊端，即当替换的ico在⽬标机器上不存在时，就会出现类似空⽩ico图标：

根据crazyman师傅所说，修改lnk的icon_location标志位，修改为相关后缀，系统即可⾃动联想到对应的打开⽅式：

⽐如我的pdf默认是由edge浏览器打开，则在icon_location中设置为pdf后缀时，⽂件的ico也会自动显示为edge浏览器打开的图标，这样可以达到⾃适配的效果：

当受害者中招打开我们的所谓的pdf，实则为恶意的快捷⽅式时，双击两下，什么反应都没有，可能会有⼀丝疑惑，因此可以当尝试⽤powershell、mshta等⽅式上线时，我们可以更改如cobaltstrike⽣成的代码，加上⼀段⾃动下载打开⼀份真的pdf，来达到逼真的效果。

下⾯的动图，展示了打开⼀个快捷⽅式钓⻥⽂件时，逼真的打开了真实的简历，然后在背后悄悄的上了线：

1.2 宏

在word中可以植⼊宏来达到运⾏宏上线的⽬的，⽽cobaltstrike也正好⾃带了这种攻击⽅式：

然后在word的视图功能中植⼊相关宏：

但是此种办法有个弊端，就是宏代码是存在本地的，极易被杀软查杀。

因此我们可以尝试使⽤远程加载模板的⽅式在进⾏宏加载。我们可以更改word中 \word_rels\settings.xml.rels内容来加载远程模板，加载远程模板打开word会有类似如下提示：

成功加载远程模板：

并且，像cobaltstrike⽣成的宏代码，使⽤的是AutoOpen进⾏触发，这⾥可以尝试使⽤AutoClose，即关闭word时触发来达到⼀些杀软、沙箱的绕过：

利⽤远程模板，因为不具备恶意宏代码，文件本身成功绕过了某杀软。

并且cobaltstrike上线也毫无阻拦。

1.3 RLO

RLO，即Right-to-Left Override，我们可以在⽂件名中插⼊此类unicode字符，来达到⽂件名反转的效果，如下图就是⼀个插⼊Rlo字符后的⽂件名，看后缀是个txt：

但是看⽂件详情⼜是个scr⽂件：

下图展示了打开⼀个看似是png图⽚后缀的⽂件，却执⾏了notepad：

1.4 ⾃解压

rar压缩⽂件，可以把⽂件进⾏压缩，然后运⾏后进⾏⾃解压的操作：

如果我们把⼀个恶意的⽂件和⼀个图⽚组合在⼀起，打包运⾏后，程序进⾏⾃解压，看到的是⼀张图⽚，但是后⾯⽊⻢程序已经悄悄运⾏了，这种效果如何？看下⾯的动图展示：

1.5 ⾃解压+RLO

上⾯介绍了⾃解压和RLO，那如果两者组合在⼀起呢？

我们把pe⽂件反转成png后缀、修改pe⽂件的ico图标，最后实施⾃解压操作。即看起来是个图⽚，后缀也是个图⽚，打开也是个图⽚，效果如何呢？

1.6 回执

当我们想要对从⽹上收集到的邮箱进⾏邮件钓⻥时，⼀⼤堆邮箱，怎么确保对应的邮箱依然存活，⼜或者说哪些邮箱的钓⻥成功率⾼点？这时候就需要⽤到邮箱的回执功能，当开启回执时，我们的邮件被对⽅已读时，我们就会收到⼀份回执信息：

这种情况下，我们就可以对已读的邮箱进⾏深⼊钓⻥。

Part 2. 钓鱼话术

上⾯提到了很多钓⻥攻击⼿段，但是就如word宏章节，如果不依赖漏洞的情况下，如何让对⽅点击启⽤宏，如何让对⽅信任你的⽂件，都需要话术的⽀撑。下⾯就来看看钓⻥的⼀些话术和⼿段。

2.1 SRC假漏洞

当⽬标企业存在类似SRC漏洞奖励计划时，我们可以去提交⼀个假漏洞，并把恶意⽂件附在其中，并说是漏洞复现程序：

有些同学就会说了，对SRC安全技术人员进行钓鱼，这不是⾃投罗⽹吗。当然，钓⻥安全⼈员，成功率极低。但是换位思考下，如果你是SRC审核⼈员，⼀个⽩帽⼦提交了核⼼应⽤，且有图有真相的漏洞复现截图的时候，这种情况下，明知道可能有恶意⽊⻢的⻛险，也不得不去冒险，因为如果这是⼀个真的大漏洞的话，不及时处理可能会造成极大坏影响。

这里为了保证“漏洞”的有效性，特地让程序随机吐出看似逼真的数据，SRC审核⼈员，你还敢点击⽩帽⼦的复现⼯具吗？

当SRC审核⼈员迟迟不点击的时候，可以施加压力，站在更高的角度上来进⾏“漏洞督促”：

2.2 简历

简历投递是⼀个百试不爽的钓⻥话术⼿段，从腾讯蓝军进⾏的远程办公安全演习也能窥之⼀⼆。

这⾥再提⼀句，⼀定要逼真，⽐如在简历钓⻥邮件中，可以留上你的名字、⼿机号码、学校等信息。

我们讨论下，为什么简历投递钓鱼在腾讯蓝军的远程办公安全演习、其他红蓝对抗项目中效果出类拔萃呢？我觉得有如下几点：

1、首先，我们的邮箱从哪里来？邮箱收集可以从领英、v2ex、搜索引擎等渠道获取，那为什么会在上述地方出现邮箱地址？大多数原因都是用人单位急招人，项目急需人，因此会在各平台留下简历投递的邮箱，而又正好被攻击者获取，而受害者又相信投递者都是善良的，还能解决招人的燃眉之急，在这种情况下，提高了简历投递钓鱼的成功率；

2、如果你的简历邮件写的足够漂亮，对于一个公司、面试官来说，一个好的人才，怎能轻易放过？

3、别忘了，收简历的人大多数是什么人，是HR。那我们继续想想，为什么HR不提防？首先，HR大多数是女生，女生比较善良、不设防，又非技术人员，这两者组合在一起，绝对是属于安全意识最薄弱的人之一了；

4、简历拥有分发属性。我们在多次钓鱼项目中发现，当你投递的简历到非对应项目人的邮箱里时，他会帮你转发，甚至有些热心的HR还会帮你录入到内部人才库，这相当于一下子从不可信变成内部可信了，这也是简历投递钓鱼有意思的地方。