Labs 導讀

隨著安全防護技術水平的提升和安全設備對攻擊行為檢測能力的增強，傳統的WEB攻擊方式變得越來越難以有效地穿越防線。因此，釣魚攻擊逐漸成為紅隊活動中備受關注的焦點。與傳統的攻擊手段相比，釣魚攻擊具備更高的成功率，常常能夠達到較好的攻擊效果。這是因為釣魚攻擊不直接依賴技術漏洞，而是利用心理和行為傾向來欺騙目標。舉例來說，釣魚攻擊可以通過偽裝成合法實體發送虛假電子郵件，誘使受害者提供敏感信息或點擊惡意鏈接。攻擊者也可能創建外觀酷似合法網站的假冒網站，引誘人們輸入敏感數據。另外，攻擊者還可能通過電話、社交媒體或即時消息偽裝身份，誘導受害者透露機密信息或執行惡意操作。更為針對性的是"Spear Phishing"，攻擊者會根據受害者的情況量身定制釣魚內容，以增加說服力。

Part 01、 目標群體信息收集   

釣魚攻擊在實施之前，務必充分進行前期信息收集和整合，以確保不被察覺。這包括搜集目標企業的多個方面信息，如招聘情況、招投標記錄、法律爭議、供應鏈信息、員工通訊信息、社交媒體賬號、域名情況，以及企業內部的組織架構和高管姓名等。

在釣魚攻擊中，最理想的情況是在信息收集階段獲得某位企業員工或管理員的電子郵箱登錄憑據。另外，如果能夠獲取某個Web服務器的權限，從其配置文件中找到郵箱相關信息也是一種成功的方法。此外，獲取辦公系統的權限或登錄憑據，尤其是系統中存在工作流程或郵件往來功能，將為攻擊者提供合法身份，從而更加隱蔽地進行攻擊。

在進行這些步驟時，請確保采取隱蔽的方法，以免引起注意。信息收集是釣魚攻擊成功的基礎，因此在這一階段的小心謹慎至關重要。

常規收集途徑不限于愛企查、git、威脅情報、語雀等。

Part 02、 釣魚攻擊攻擊類型 

釣魚攻擊的策略可以簡化為以下幾種主要方式：

? 社交釣魚：這種方法適用于信息收集階段，當發現目標已在互聯網上泄露聯系方式時，例如企業在釘釘、QQ、微信等社交平臺上的存在。攻擊者可能利用這些信息，如公司的釘釘或QQ群、員工的手機號，甚至通過手機號獲取社交賬號好友關系等，來進行欺騙。社交平臺上的釣魚攻擊通常涉及發送病毒鏈接或誘騙性消息，以下載惡意軟件、竊取用戶機密信息。

? 郵件釣魚：如果在信息收集階段獲取了目標的招聘、法務糾紛、招投標等信息，攻擊者可以嘗試進行郵件釣魚攻擊。這種方法適用于目標在互聯網上公開發布信息的情況。電子郵件釣魚是目前最常見的攻擊方式之一。攻擊者可以發送偽造的郵件，假扮成銀行、電信公司、政府機構等，以獲取敏感信息或傳遞惡意軟件。

? 網站欺詐：這種方式利用郵件、社交等渠道，通過友好和吸引人的方式，誘使用戶點擊鏈接，將目標帶到偽裝成合法站點的地方，然后獲取用戶的賬號和密碼。

? 被動釣魚：這種方法涉及公開信息，如在GitHub代碼倉庫、Python庫或其他公開文檔中散布虛假信息，以迷惑目標用戶下載、安裝或運行。被動釣魚適用于大規模攻防演練或APT攻擊等情況。

釣魚攻擊可以進一步分為以下幾種類型：

? 魚叉攻擊：魚叉攻擊主要針對特定個體，攻擊者制定特定的攻擊策略。與廣泛撒網不同，對大范圍釣魚攻擊的發現概率更高。紅隊在實際操作中通常更關注特定群體，如運維人員。這些人員通常存放有系統臺賬，而這些臺賬往往包含重要業務系統的信息。一旦成功，將為攻擊者帶來重要的內網突破路徑。

? 水坑攻擊：水坑攻擊在目標必經的路徑上設置陷阱，等待目標觸發。一旦目標觸發陷阱，攻擊者將在目標主機上植入惡意軟件。這種方法通常利用組織內部的業務系統漏洞或權限，通過放置惡意代碼，一旦正常用戶訪問，就會觸發惡意代碼，進而獲取目標主機的權限。

? 鯨釣攻擊：鯨釣攻擊主要針對企業高層管理人員。這些人員往往沒有像普通員工那樣接受網絡安全意識培訓，因此對釣魚攻擊的防范意識較低，更容易受到攻擊。攻擊高層管理人員成功后，攻擊者獲取的信息價值更高，危害更大。

Part 03、 準備話術、釣魚網站及魚餌  

3.1 話術

釣魚攻擊的成功在很大程度上依賴于精心構建的話術，這在整個釣魚過程中占據著關鍵地位。不同的釣魚話術針對不同的目標，產生不同的攻擊效果。在策劃釣魚攻擊之前，對被釣魚對象有深入的了解是不可或缺的。這包括獲取目標企業員工的聯系方式以及了解他們是否在企業內部。對目標的職位和所在部門進行準確判斷，比如確定是否在公司擔任行政職務，確認辦公設備是否連接到公司網絡，了解目標在公司中的職位以及設備是否安裝了殺軟，以及殺軟的具體類型。

3.2 魚餌附件進行免殺

在釣魚攻擊中，克服的難題之一始終是如何對抗殺軟。在計算機普遍安裝了個人殺軟，企業采用沙箱和企業級EDR的情況下，未經處理的木馬程序難以有效部署或執行。為了繞過這些保護措施，定制化的免殺木馬應運而生，旨在能夠逃避目標沙箱檢查和殺軟的查殺。最理想的情況是，在收集信息或與受害者溝通時，能夠探明目標是否裝備有殺軟，以及使用的殺軟類型，從而制作相應的免殺木馬樣本。雖然通過誘使目標關閉殺軟是一種簡單的方法，但現實情況通常是攻擊者難以獲知目標的殺軟情況，所有操作都在黑盒的狀態下進行。為確保釣魚攻擊的成功率，唯有制作強大的免殺工具，以便能夠繞過更多種類的殺軟。

想要制作免殺木馬，就必須深入了解殺軟的工作原理。通常，殺軟采用靜態分析和動態分析兩種方法。靜態分析時，殺軟會檢查文件的二進制代碼，掃描其中的特定模式和指令序列，以便識別潛在的惡意行為，包括尋找已知的惡意簽名和計算機病毒，以及判斷文件是否表現出惡意特征等。靜態免殺即攻擊者利用技巧，使得他們的惡意軟件在靜態分析下不被殺軟察覺，方法包括文件格式修改、使用加殼器或代碼混淆器、隱藏惡意代碼等。而動態分析則是在運行時監測程序行為，觀察系統調用、網絡流量、文件操作和其他活動。這有助于殺軟識別使用代碼混淆、加密或其他技術掩蓋的惡意行為。動態免殺即攻擊者運用技巧，使得他們的惡意軟件在動態分析下不被殺軟發現，方法包括虛擬化技術、進程注入、代碼混淆、反調試技術、反沙箱技術、動態生成惡意代碼等，以逃避殺軟的分析功能。常見的免殺方法有：免殺加載器、分離免殺、加殼免殺、修改特征免殺。

3.3 魚餌附件進行偽裝

偽裝是指通過各種手段對釣魚樣本進行外觀上的偽裝，以使其具有不同于實際內容的外觀特征。舉例來說，可以將可執行文件的外觀偽裝成更類似于PDF文件，或者通過替換木馬可執行文件的.ico圖標，使其呈現出官方可執行文件的外觀。在進行信息收集階段，收集受害者所屬組織的官方網站圖標，并將其應用于木馬，以降低目標的警惕性。然而，如果運行文件后沒有出現任何反應，這可能引發對方的懷疑。在這種情況下，就需要對木馬的圖標和文件信息進行修改，將正常文件與木馬相互綁定，使用戶在運行時會釋放出預先準備的正常文件。紅隊需要掌握釣魚文件制作技術，以減輕目標的戒心。以下是幾種常見的方法：

1、文件外觀偽裝：修改文件的頭部信息或特定部分，使其在外觀上更像其他類型的文件，例如將可執行文件偽裝成文檔、圖像或音頻文件。

2、圖標替換：將木馬可執行文件的圖標替換為常見、無害程序的圖標，以使其在文件瀏覽器中看起來與正常文件相似。

3、捆綁文件：將木馬與一個或多個合法文件綁定在一起，使用戶運行文件時同時釋放出正常文件，以掩蓋木馬的存在。

4、動態加載：在運行時，木馬可以動態下載其他惡意組件，從而不會被靜態分析檢測出來。

5、代碼混淆：對木馬代碼進行混淆，使其難以被靜態分析工具解讀，從而降低檢測風險。

6、虛擬化技術：使用虛擬化技術將木馬代碼包裝在虛擬環境中運行，使其行為更接近正常程序，以逃避動態分析檢測。

7、反沙箱技術：檢測是否在沙箱環境中運行，如果是，則木馬可能會采取不同的行為，以躲避檢測。

8、反調試技術：木馬可能會監測是否在調試環境中運行，如果是，則采取措施阻止調試操作。

這些方法可以在釣魚攻擊中用來制作免殺木馬，以便更好地欺騙目標并繞過安全措施。

3.4 釣魚網站

釣魚網站是一種網絡欺詐行為，旨在誘導用戶提供個人敏感信息，如用戶名、密碼、信用卡信息等，通常是通過偽裝成合法和可信賴的網站。攻擊者會創建看似真實的網站，外觀和功能與合法網站非常相似，以便欺騙用戶在網站上輸入他們的敏感信息。一旦用戶提供了這些信息，攻擊者就可以利用這些信息進行不法活動，如盜取身份、進行金融欺詐等。

釣魚網站通常使用社會工程學和偽裝技術，通過電子郵件、社交媒體、即時消息等渠道將受害者引導至這些網站。例如，攻擊者可能會發送看似合法的電子郵件，要求用戶點擊鏈接前往某個網站，然后在該網站上輸入他們的登錄信息。這些電子郵件通常會偽裝成銀行、電子支付平臺、社交媒體或其他常用服務的通知，以引起受害者的興趣和信任。

為了識別釣魚網站，用戶需要保持警惕，注意以下幾點：

• URL檢查：在點擊鏈接之前，仔細檢查鏈接的URL。攻擊者可能會使用與真實網站類似的域名，但可能會有細微的差異或錯字。
• 安全證書：確保網站使用了合法的安全證書。大多數合法網站會在瀏覽器中顯示一個鎖形圖標，表示連接是加密的。
• 謹慎點擊鏈接：不要在未經驗證的電子郵件、短信或社交媒體消息中點擊鏈接。最好手動輸入網站的URL，而不是通過點擊鏈接進入。
• 不提供敏感信息：永遠不要在不確定網站上輸入敏感信息，特別是密碼、信用卡信息等。
• 使用安全工具：使用安全軟件和防病毒工具可以幫助檢測和阻止訪問惡意網站。

總之，釣魚網站是一種網絡欺詐行為，通過偽裝成合法網站來誘使用戶泄露敏感信息。用戶應該保持警惕，避免在未經驗證的情況下提供個人信息，以確保網絡安全。

Part 04、 投放誘餌 

完成上述任務后，木馬將以多種方式傳遞到目標系統，然后靜靜等待目標上鉤。目前是否成功上鉤取決于釣魚話術是否足夠迷惑，以至于讓目標深信不疑。

以下是幾種提高成功概率的策略：

• 創造適當的緊迫感。例如偽造可能引發嚴重后果的事件，或者冒充一個無法拒絕的身份，比如組織內高級領導、第三方運維人員或求職者。
• 強調時間的緊迫性。突顯事態的嚴重性。當受害者急于解決問題時，往會帶來出乎意料的效果。
• 提供一定的誘因。例如偽裝成公司管理人員，承諾完成某項任務即可獲得獎金，并與下個月的工資一同支付。這種方法能顯著提升成功率。
• 靈活掌握時機。釣魚攻擊方式應多變。例如，如果企業正在進行攻防演練，可以借此機會告知員工需要進行安全檢查?；蛘咴诜ǘ偃张R近時，偽造符合常理的假期安排，從而不引起懷疑。
• 可以考慮使用多個木馬和C2服務器進行遠程控制。這樣可以增加攻擊的穩定性和隱蔽性。

Part 05、  結語-釣魚攻擊防范 

釣魚攻擊常見于偽裝成合法實體，引誘用戶進入虛假網站提交敏感信息或點擊惡意程序，以達到攻擊目的。這類攻擊方法多種多樣，必須結合特定場景，制定相應的攻擊方案和引誘手法，配合精巧的木馬樣本技術，確保可信度，從而引誘目標上鉤。防范釣魚攻擊的核心在于提升用戶和組織內部的安全意識，進行培訓，避免點擊可疑鏈接或附件，并保持應用程序的及時更新。

為應對釣魚攻擊，需采取以下措施：

1、加強組織內部的安全培訓，提高員工識別和防范釣魚攻擊的能力。避免通過非官方渠道泄露社交媒體賬號，對需要與外部溝通的職位進行安全培訓，例如人事招聘HR、法務部人員等。

2、強制使用強密碼和雙因素認證等方式保護個人賬號安全。防止敏感信息泄露。制定密碼更新策略，防范因過期密碼導致攻擊者登錄。

3、及時更新操作系統和應用程序。安裝安全補丁，避免攻擊者利用已知漏洞進行攻擊。

4、部署郵件服務器沙箱。使用沙箱特征庫掃描、威脅情報匹配、啟發式掃描和行為識別等手段，識別惡意文件和釣魚鏈接。保持內網主機和殺軟沙箱的特征庫更新，避免老舊特征庫造成惡意文件執行。

5、核實郵件內容。在打開外部文件前，先進行殺軟掃描。對包含“福利”、“補貼”等字眼的郵件要謹慎，避免盲目下載和打開未知附件。

6、注意檢查發件人的郵件地址和內容。以辨識可疑郵件的真實性。

7、對新增的社交賬號保持警惕。通過熟悉的信息驗證對方身份。

8、避免隨意打開附件中的可執行文件、Office文件和陌生后綴文件，不要直接點擊郵件鏈接。最好直接訪問已知網站域名。若遇到不明鏈接或可疑網站，應先確認并驗證后再進行操作，可以請教IT人員或發件人。