一. 釣魚技術簡介

隨著安全防護技術水平的提高以及安全設備對攻擊行為檢測能力的提升，傳統WEB攻擊手段越來越難以有效突破防守單位的高強度防守。釣魚攻擊逐漸受到紅隊的重視。與傳統的攻擊手段相比，釣魚攻擊成功率高，往往能達到較好的攻擊效果。

二. 信息收集

任何釣魚攻擊都應該在前期做好足夠的信息收集和整合。如收集目標企業的招聘信息、招投標信息、法律糾紛、供應鏈信息、職員手機號、社交賬號、域名、企業組織機構、高管姓名等。釣魚攻擊最理想的情況是在信息收集過程中獲取了企業某個員工、管理員郵箱口令；或者獲取了某個Web服務器權限，在配置文件中找到了郵箱信息；再或者獲取了辦公系統權限或賬密，并且辦公系統中存在工作流或郵件收發功能，這樣便擁有了一個企業內部的合法身份。

三.釣魚方式選擇

從釣魚攻擊的路徑可以簡單分為以下幾種釣魚攻擊方式。1、社交釣魚：微信、QQ、釘釘、社交群聊，這類釣魚適合在信息收集階段，發現目標在互聯網泄露聯系方式的情況，如發現該公司釘釘或QQ群，發現公司某員工手機號，通過手機號獲取社交賬號好友關系等。社交平臺釣魚是以社交網站或軟件作為平臺，通過發送病毒鏈接或欺詐消息打開鏈接后下載木馬，竊取用戶機密信息。2、郵件釣魚：在信息收集階段獲取目標招聘、法務糾紛、招投標等信息，可以嘗試進行郵件釣魚攻擊，該類釣魚攻擊適合目標在互聯網發布公開信息的情況。電子郵件釣魚是目前最為常見的一種釣魚攻擊方式。可以通過發送偽造的郵件，偽裝成銀行、電信、政府機構等，以獲取敏感信息或投遞惡意程序。3、網站欺詐：利用郵件、社交等渠道，以友好和誘人的形式，誘導用戶點擊鏈接，將目標轉到已偽裝站點，騙取用戶賬號和密碼。4、被動釣魚：Github代碼倉庫、Python庫等、公開文檔，被動釣魚適合大型攻防演練、APT攻擊等，在互聯網側廣泛釋放虛假信息迷惑目標進行下載、安裝、運行等。釣魚攻擊可分為以下幾類：1、魚叉攻擊：魚叉攻擊主要是針對特定人員制定特定的攻擊話術，而非普遍撒網，對于大范圍的釣魚攻擊被發現的概率將會大大增加，因此實戰過程中，攻擊人員通常更愿意對特定的群體進行釣魚攻擊。如在攻防演練中，紅隊師傅尤其注重對運維人員的釣魚攻擊，往往運維人員主機上存放有系統臺賬，大概率涵蓋重要業務系統。一旦上鉤將對內網突破帶來較大增益。2、水坑攻擊：在目標的必經之路上設置陷阱等待目標經過并且觸發，從而在受害者主機上植入木馬。通常是利用組織重要業務系統漏洞或權限，放置惡意代碼，正常用戶一旦訪問，便會觸發惡意代碼獲取目標主機權限。3、鯨釣攻擊：主要針對企業高層管理人員的釣魚攻擊，這類目標往往不會和普通員工一樣接受網絡安全意識培訓，普遍對于釣魚攻擊的防范意識不足，更容易攻擊成功，并且攻擊該類人員成功后獲取的信息價值更高，危害更強。

四. 釣魚話術準備

釣魚話術是進行釣魚攻擊的重要一環，不同的話術是對應不同的釣魚目標，可以起到不同的攻擊效果。在準備釣魚攻擊前，需要對釣魚對象有足夠的了解。如目標企業員工聯系方式、是否身處企業內部：重要通過目標職位、部門判斷，如公司行政職位、辦公設備是否接入公司網絡、目標在公司的職位崗位、設備是否安裝殺軟，或殺軟類型。釣魚攻擊話術至關重要，相對于漏洞攻擊需要掌握嫻熟的技術，需要對各類代碼，編程語言較為熟悉不同。釣魚攻擊的對象是人，釣魚是否成功很大程度上取決于攻擊者的社交能力。如同魔術師一切的表演都是為了轉移觀眾注意力掩飾“魔術道具”一樣，釣魚攻擊的話術也是通過話術試圖將“魚鉤”隱藏在花言巧語之中。

五. 釣魚附件制作

5.1 附件免殺技術

釣魚攻擊永遠繞不過的坎便是對抗殺軟，在計算機普遍安裝個人殺軟，企業部署沙箱、企業級EDR的情況下，未經處理的木馬程序很難落地或執行。定制免殺木馬，以便能通過目標沙箱檢查和殺軟查殺。最好能夠在信息收集時或與受害者溝通時打探清楚目標是否存在殺軟，使用什么樣的殺軟，以便能夠制作相對應免殺的木馬樣本。能夠利用欺騙的藝術，使目標關閉殺軟是最簡單的方案，但是現實通常是攻擊方無法獲取目標殺軟情況，一切都是黑盒操作，為保證釣魚攻擊成功率，則只能制作足夠強的免殺，能夠bypass更多的殺軟。想要制作免殺木馬，就要了解殺軟工作原理。殺軟通常會對軟件進行靜態分析和動態分析。在靜態分析中，殺軟會檢查文件的二進制代碼，掃描其中的特定模式和指令序列，以識別可能的惡意行為。包括查找已知的惡意簽名和計算機病毒，比對文件是否存在惡意行為等。靜態免殺是指攻擊者使用技巧來使其惡意軟件在靜態分析下無法被殺軟檢測出來，例如修改文件格式、使用加殼器或混淆器、隱藏惡意代碼等。而動態分析則是在實際運行時監控程序的行為，觀察它的系統調用、網絡流量、文件操作和其他行為。這可以幫助殺軟識別那些使用代碼混淆、加密或其他技術隱藏的惡意行為。動態免殺是指攻擊者使用技巧來使其惡意軟件在動態分析下無法被殺軟檢測出來，例如使用虛擬化技術、進程注入、代碼混淆、反調試技術、反沙箱、動態生成惡意代碼等繞過殺軟的分析功能。以下簡單介紹幾種免殺木馬制作的方式。

5.1.1 免殺加載器

免殺加載器通過將加密、編碼、字符串替換等方式處理后的Shellcode逆向處理還原出真正的shellcode，并將shellcode寫入到內存中執行。

這里寫了一個簡單的免殺木馬加載器。可以看到cs生成的二進制shellcode里面是有一些特征存在的，各大殺軟對cs的shellcode嚴密查殺。將shellcode通過加密、編碼、混淆、隱藏的方式進行轉換后動態生成。

將shellcode取反后已經消除了大部分特征。

在處理shellcode的時候將其逆向處理，如：

buf[i] ^= 186; 異或

buf[i] = -buf[i]; 取反

dshellcode = decrypt(key,encrypy_shellcode) 解密

dshellcode = base64decode(encode_shellcode) base64解碼

remove_obscure = obscure_shellcode.replace(“somechar”) 字符串替換等方式還原shellcode。

申請足夠的可讀寫執行的內存空間，并將shellcode寫入內存空間中

PVOID hAlloc = VirtualAlloc(NULL, length, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

memcpy(hAlloc, buf, length);

通過Hook shellcode獲取句柄，在內存中執行shellcode即可成功上線。將病毒庫更新到最新，殺軟靜態查殺通過。

主機正常上線，命令正常執行，殺軟未進行攔截。

類似C,C++語言的加載器被各大殺軟嚴密監控，可以嘗試使用其他工具的加載器，如前期興起的python、go語言，再如近期被應用于免殺領域較多的nim開發語言，小眾語言對繞過殺軟有奇效。

相對于shellcode在免殺中是彈藥的角色，加載器則是武器的角色，殺軟通過分析程序的行為可能識別出代碼是加載器代碼或通過加載器的內存特征從而進行查殺，因此對于此類情況不論怎樣變換shellcode，殺軟還是能完美查殺惡意程序。對于此類情況，簡單的思路是更換shellcode的加載方式或混淆加載器代碼。這里簡單實現一種混淆加載器過殺軟的方法。通過對加載器進行代碼填充、隨機變量名生成動態生成加載器。

除了自己寫免殺加載器外，有許多開源免殺工具可供使用如veil、venom、avet等，此類開源免殺均附帶使用方法，不多過多贅述。值得注意的是，開源免殺被使用的較多，對于此類免殺技術很快會被殺軟識別查殺并入特征庫，想要對抗殺軟，最重要的是保持免殺技術的新鮮性。

5.1.2 分離免殺

分離免殺本質還是加載器免殺，只是將加載器和shellcode進行分離，往往和加載器免殺結合使用，實戰中應該選擇合適的方式進行攻擊。利用開源工具實現分離免殺。分離免殺相對于shellcode加載器來說會更加隱蔽，一般是通過shellcode加載器通過遠程或本地抓取的方式，將編碼、加密、混淆、隱藏等操作處理后的shellcode逆向還原后寫入內存。

此外分離免殺對于shellcode的混淆有先天優勢。允許對惡意腳本做更多操作，如在代碼中增加shellcode處理過程。將shellcode進行加密或編碼后隱藏到正常文件中如一張圖片中，進行隱寫或直接寫入文件內部。創建加載器將藏有shellcode的圖片加載到本地，對shellcode進行提取，寫入內存并執行，就可以執行shellcode。可以藉此繞過部分殺軟的流量監控遠程加載shellcode。

5.1.3 加殼免殺

相對于上面的兩種免殺方式，加殼方式免殺比較簡單，使用收集來的加殼程序將木馬文件處理后，即可嘗試免殺效果。但是往往事與愿違，殺軟對加殼的程序往往更重視，同時殺軟也可能對殼特征進行標記，導致本可以免殺的木馬被查殺。如本處使用Shielden殼（默認選項）處理被識別為后門，未加殼的程序則報告為安全。

但是加殼后可以免殺其他部分殺軟，未加殼的程序則被該殺軟靜態查殺，如下面加殼后的文件未被查殺。加殼后的start1_se.exe免殺。

不同的殺軟對各類加殼識別率和查殺率均不一致。加殼可能能夠繞過部分殺軟檢測，同時也可能增加木馬的查殺率。因此對于加殼免殺，通常要嘗試多種加殼程序和方式，本地測試能夠過殺軟的情況下再選用合適的殼繞過目標殺軟。

5.1.4 修改特征免殺

修改特征碼免殺可以做到高效精準免殺。原理是將木馬文件分片成細小程序段后使用殺軟進行查殺，被查殺的那個就是特征碼所在的區段，對被查殺的區段再進行細分直至不報毒。Myccl是定位特征碼位置的工具，打開myccl載入木馬，使用殺軟進行查殺，被查殺的那個就是特征碼所在的區段，重復此操作直至殺軟不報毒。然后對特征碼修改，值得注意的是特征碼修改可能會導致程序無法正常運行，需要具備一定的匯編知識。

使用virTest進行start1.exe的特征定位，該軟件采用2分排除法，可以自動定位惡意文件中的特征碼。首先關閉所有殺軟點擊制作測試文件，選擇被木馬免殺的文件，會自動再virTest同級目錄生成virtest.vir文件，然后點擊載入測試文件選擇生成的virtest.vir文件，開啟需要bypass的殺軟，點擊定位特征代碼按鍵。殺軟會對每個代碼段進行自動查殺，部分殺軟查殺慢需要手動確認來保證測試準確度。自動測試結束后，軟件會告知特征碼偏移位置和特征碼數量。

這里可以看到樣本存在一個特征碼被標記，使用二進制文件編輯器打開這個木馬，將特征碼修改其中1位，然后直接保存。嘗試上線，執行修改后的exe成功上線。如果程序無法執行，可能是破壞了程序的函數結構，可以多嘗試幾次修改不同位置。

當然修改特征碼并不是能夠通殺所有殺軟，例如修改特征碼可能導致程序崩潰，或者木馬被殺軟掃描出的位置較多，則修改起來的難度就會更高。

5.2 附件偽裝技術

偽裝即通過手段將釣魚樣本進行表面上的偽裝，如讓可執行文件看起來更像PDF，再如通過替換木馬exe的.ico圖標，使得木馬看起來像一個官方可執行文件，在信息收集時，將受害者所在組織的官網圖標收集，并為木馬綁定，降低目標警惕性。如果文件運行之后沒有任何反應，會引起對方的懷疑。這時候就需要對木馬進行圖標、文件信息進行修改，將正常文件和木馬綁定，用戶運行時釋放準備的正常文件。紅隊需要掌握釣魚文件制作技術以降低目標戒心，下面列舉常見的幾種方法。

5.2.1 自解壓

自解壓文件是壓縮文件的一種，因為它可以不用借助任何壓縮工具，而只需雙擊該文件就可以自動執行解壓縮，因此叫做自解壓文件。同壓縮文件相比，自解壓的壓縮文件體積要大于普通的壓縮文件（因為它內置了自解壓程序），但它的優點就是可以在沒有安裝壓縮軟件的情況下打開壓縮文件（文件類型為·exe格式）。使用自解壓格式木馬，目標下載壓縮包解壓后自動解壓到特定目錄并運行，或將木馬綁定到正常的文件安裝包上，當文件被運行的時候，木馬會被同時運行并隱藏自身到特定目錄，此時目標就已上線。

假設當前我們已經擁有一個可上線木馬。此時我們在實施釣魚攻擊的時候，認為無法直接使用木馬可執行文件作為釣魚攻擊程序，則可以使用正常可信文件和木馬文件打包成自解壓壓縮包的方式，將木馬投遞。首先將木馬文件和正常文件放入文件夾下，使用WinRAR自解壓格式進行文件壓縮。在高級配置里，在自解壓選項里配置解壓路徑，這里使用了環境變量代替絕對目錄。這里的%TEMP%表示：C:\Users\用戶名\AppData\Local\Temp。選擇配置提取前運行木馬程序，提取后運行正常程序，或是提取前后運行兩個文件。模式中選擇安靜模式，可以隱藏解壓進度，防止解壓文件時暴露壓縮文件中的內容。這里建議木馬文件先于正常文件運行，否則只有當正常文件運行完被關閉時才會運行木馬文件。

更新中選擇跳過已經存在的文件，避免目錄已存在文件，彈框詢問。添加自解壓文件圖標。這里選擇跳過已存在的文件有兩個原因，一個是防止已存在文件，會彈框提示已存在文件，暴露隱藏的木馬文件。二是如果已存在木馬文件，且正在運行，第二次運行自解壓文件會提示無法提取木馬文件，因為木馬文件在此前已經運行，存在進程列表中，無法完成自動覆蓋操作。會泄露木馬解壓路徑和解壓文件名。可以采用一些第三方通過圖片生成ico，也可以使用在線ico轉換工具進行轉換。重新使用圖標進行壓縮。雙擊運行，正常文件打開，木馬被加載到預定目錄，且主機上線，無其他異常彈框。

5.2.2 資源修改技術

資源修改一方面可以更好的偽裝木馬文件，讓目標更加相信是一個正常文件，另一方面可以通過文件資源的變動，影響殺軟對特征碼的判斷。以某免殺平臺處理過的cs載荷為例,使用殺軟查殺發現該免殺已失效，樣本被查殺。使用restorator將正常文件的資源文件全部復制給不免殺的木馬start.exe。保存后發現start.exe體積變大，圖標被修改。

查看屬性發現start.exe為cs默認可執行文件載荷經過免殺混淆程序進行處理過的免殺程序，目前已被查殺。但是經過一系列資源替換后，木馬可繞過殺軟。未進行資源替換直接加殼會被部分殺軟查殺，而進行資源替換后并加殼可過繞過部分殺軟，同樣反映了資源替換可一定程度上提升木馬的免殺能力。部分情況不能夠bypass殺軟的情況下，可以嘗試對程序進行數字簽名來嘗試繞過。

5.2.3 捆綁機技術

常用的捆綁方式是將木馬文件添加到正常的可執行文件尾部，當正常文件執行的時候，將木馬同時執行，這種技術已經比較普遍過時，捆綁非免殺馬的情況下很容易被殺軟識別。利用二禁止文件編輯器搜索PE文件頭。如果找到兩個以上，就基本證明存在捆綁文件。當然有其他的捆綁形式，如將木馬捆綁在圖片上、PDF、Word文檔、Excel中，更利于引誘目標點擊，目標點擊執行后，木馬在后臺執行并使主機上線，捆綁文件則被正常加載。如下圖_Manage_bind.exe為捆綁后的文件，運行后木馬上線并逃逸到指定位置。捆綁程序正常執行。

木馬偽裝、捆綁技術在一般情況下只是為了隱藏木馬，真正目的并非通過捆綁靜態免殺。當捆綁被執行，木馬與捆綁文件分離后，使用的木馬文件將原原本本暴漏在殺軟面前，若捆綁前不是免殺馬，執行后同樣會被殺軟殺掉。

六. 誘餌投遞

以上工作完成之后，將木馬以各種方式投遞到目標系統，靜待魚兒上鉤。為了能夠更加穩健的使主機上線，此時是否能夠上鉤取決于釣魚話術是否具有足夠的迷惑性，讓目標深信不疑。1.給目標適當的壓迫感，如偽造一個會導致嚴重后果的事件、或偽造一個受害者無法拒絕的身份（組織內部上級領導、第三方運維、應聘者等）。2.給目標營造出時間上的緊迫感，突出事態的嚴重性。受害者在著急解決問題的情況下會降低對事件的敏銳度，忽略求證時間。適當催促可能會獲得意想不到的效果。3.向目標施以一定的利誘，當你作為攻擊者偽裝成公司行政時，便可以許諾完成某某活動即可獲得獎金，與下月工資一同匯入賬戶，成功率將大大提升。4.善于審時度勢，釣魚攻擊方式多變，如企業正處于攻防演練中，則可以以攻防演練為由頭，告知職員需要進行安全檢查。如臨近法定假期，偽造節假日放假安排等等符合常理的安排。5.為確保成功率，可以考慮使用多個木馬和C2服務器進行遠控。

七. 權限維持

在獲取服務器權限后，為了防止目標發現和修補漏洞或是封禁IP而導致對服務器權限的丟失。需要對上線主機做權限持久化（權限維持），持久化技術包括任何可以被攻擊者用來在系統重啟、更改用憑據或其他可能造成訪問中斷的情況發生時可保持或恢復對目標訪問權限的技術，這里介紹幾種簡單的持久化方案。1、進程遷移：木馬上線后，為了避免目標應急處置，導致木馬被殺、IP封禁導致目標掉線，首要任務是對進程做遷移。進程遷移通常是將木馬進程注入到其他穩定的進程中，msfconsole、cs等都可以很方便的做進程遷移或注入。2、隱藏文件：大多數普通用戶不會開啟文件后綴顯示或顯示隱藏的項目選項。使用attrib +h +s filename將文件隱藏后，即使開啟隱藏的項目選項也無法查看到文件，命令行dir列目錄同樣無法顯示，需dir –a可顯示，使用attrib -h +s filename可重新恢復顯示。3、定時任務：windows 下定時任務的命令有兩個分別是：at 和 schtasks，他們兩者主要區別是 at 命令在 win7、08 等高版本的 windows 中是不能將任務在前臺執行的，也就是只會打開一個后臺進程，而 schtasks 是將定時的任務在前臺執行。4、開機自啟項：簡單的開機自啟將需要開機自啟的程序放入下面路徑中C:\Users%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup即可。5、隱蔽隧道：部分防守方比較警惕并且安全設備完善，一旦發現內網存在入侵現象或惡意外聯現象，便會及時開展應急排查和溯源反制，通常應急處置第一步會將惡意IP封禁，為了避免攻擊IP被防守方發現并清除，可以利用多個服務器搭建隱蔽隧道，配置額外C2上線并設置較長的心跳防止被一波清除。

八. 釣魚攻擊案例

8.1 偽造安全檢查郵件釣魚

施郵件釣魚時，郵件內容表示要求對公司的電腦進行升級，安排程序升級員工進行操作。攻擊者把工具偽裝成裝修工具，讓員工下載然后埋下安裝木馬。再如某某部門要求進行某項內容的工作，命令接受者上點擊附件，之后系統就會自動下載木馬程序。

某活動中，攻擊方通過OA漏洞，獲取了防守方OA系統管理員權限，其中OA系統存在郵件管理功能，通過管理員的郵箱，以信息安全為由偽造郵件，并將木馬作為郵件發送到企業內部。由于處于攻防演練期間，且發件人出自企業內部管理員，因此該郵件置信度非常高，最終多個設備上線。

8.2 通過法律糾紛釣魚

前期對目標單位進行信息收集，發現目標單位存在買賣合同糾紛，利用企業信息查詢網站獲取目標單位郵箱地址，將木馬通過加密附件的形式投遞到公司郵箱，成功上線目標單位郵箱管理員主機。

九. 釣魚攻擊防范

釣魚攻擊主要通過偽裝成合法實體，誘導用戶進入虛假網站提交敏感信息或點擊惡意程序實現攻擊目的。釣魚攻擊是多變的，必須要結合特定的場景，制定特定的攻擊文案和引誘話術，配合巧妙的木馬樣本制作技術，達成一定的可信性，誘使目標上當。預防釣魚攻擊的關鍵在于提高用戶并組織內部的安全意識教育和技能培訓，避免單擊可疑鏈接和附件、及時更新應用程序等。為了應對釣魚攻擊，應做好以下工作：

1、加強組織內部的安全意識教育和技能培訓，提高員工對釣魚攻擊進行識別和預防的能力。公司員工社交媒體賬號盡量不從官網、招聘、招標等渠道泄露，對人事招聘HR、法務部人員等需對外溝通崗位工作人員加強安全意識培訓。2、強制公司內部使用強密碼和啟用兩步驗證等方式保護個人賬號的安全，避免敏感信息被攻擊者竊取，啟用賬號密碼更新策略，避免老舊密碼泄露導致被攻擊者登陸。3、 應及時統一更新操作系統和應用程序，安裝安全補丁，避免安全漏洞被攻擊者利用。4、部署郵件服務器沙箱，文件應通過沙箱特征庫掃描、威脅情報匹配、啟發式掃描和行為識別組合，判斷是否為惡意文件或釣魚鏈接。內網主機及殺軟沙箱及時更新特征庫，避免因特征庫老舊導致部分惡意文件可落地執行。5、 核實郵件內容，接收并點擊外來文件時，文件應先使用殺軟掃描。對“福利”、“補貼”等字眼的郵件應仔細辨別，避免不假思索下載打開不明附件。6. 需要注意發件人的郵件地址、郵件內容是否存在語法錯誤或拼寫錯誤等，以辨別可疑郵件來源的真實性。7、對新添加的社交賬號，應保持警惕，通過熟悉的人、事物或經歷，驗明對方身份。8、 不應輕易執行附件中的可執行文件、office文件、陌生后綴文件，避免直接點擊郵件鏈接訪問，最好直接訪問已知的該網站域名。如認為是不明鏈接或可疑網站，請事先向IT人員或發件人確認，進行驗證后再進行操作。

承影戰隊

新華三承影戰隊，專注前沿攻擊技術研究，研究方向包括web攻防、0day挖掘、紅隊工具開發等，長期招聘攻防研究員，簡歷投遞：jiang.wenming@h3c.com (請注明來自FreeBuf)

本文作者：新華三承影戰隊， 轉載請注明來自FreeBuf.COM