红蓝对抗之邮件钓鱼攻击

玉面飞龙之王

红蓝对抗越加普遍及重要，甚至成为了大型赛事，随之⽽来的是防守方大量部署安全设备，如FW、WAF、IDS、IPS等，想要从Web端深⼊到对⽅内⽹已经困难重重。但是，⼈永远是最⼤的弱点，在日渐增多的防护设备⾯前，钓⻥攻击（Phishing）已经成为对抗中⼀种必不可少且非常有效的攻击⼿法（近期也见到实际攻击中针对HR的邮件钓鱼攻击），一旦有人中招，攻击队就直接能进⼊目标办公⽹，这也是钓⻥的魅⼒之⼀。其实钓鱼攻击也一直是APT高级持续威胁的主要打点手段，网络上公开的APT攻击案例中超过80%都使用钓鱼攻击。

本⽂将以腾讯蓝军真实项⽬中的一部分细节为⼤家介绍⼀些钓⻥⼿段和钓⻥话术。

Part 1. 钓鱼手段

1.1 lnk

lnk⽂件，简单理解为快捷⽅式，创建⽅式如下：

下图为calc.exe的快捷⽅式的属性信息，我们可以在“⽬标”栏写⼊⾃⼰的恶意命令，如powershell上线命令：

⽽在实施钓⻥过程中，对于我们的calc.exe的快捷⽅式来说，⼀个⼤⼤的计算机ico图标，显然看起来不像⼀个好玩意，因此可以尝试在“属性”中去更改该⽂件的图标

但是⽤系统⾃带的ico去做⽂件图标替换的话，有个弊端，即当替换的ico在⽬标机器上不存在时，就会出现类似空⽩ico图标：根据crazyman师傅所说，修改lnk的icon_location标志位，修改为相关后缀，系统即可⾃动联想到对应的打开⽅式：

⽐如我的pdf默认是由edge浏览器打开，则在icon_location中设置为pdf后缀时，⽂件的ico也会自动显示为edge浏览器打开的图标， 这样可以达到⾃适配的效果：

当受害者中招打开我们的所谓的pdf，实则为恶意的快捷⽅式时，双击两下，什么反应都没有，可能会有⼀丝疑惑，因此可以当尝试⽤powershell、mshta等⽅式上线时，我们可以更改如cobaltstrike⽣成的代码，加上⼀段⾃动下载打开⼀份真的pdf，来达到逼真的效果。

下⾯的动图，展示了打开⼀个快捷⽅式钓⻥⽂件时，逼真的打开了真实的简历，然后在背后悄悄的上了线：

在word中可以植⼊宏来达到运⾏宏上线的⽬的，⽽cobaltstrike也正好⾃带了这种攻击⽅式：

然后在word的视图功能中植⼊相关宏：

但是此种办法有个弊端，就是宏代码是存在本地的，极易被杀软查杀。

因此我们可以尝试使⽤远程加载模板的⽅式在进⾏宏加载。我们可以更改word中 \word_rels\settings.xml.rels内容来加载远程模板，加载远程模板打开word会有类似如下提示：

并且，像cobaltstrike⽣成的宏代码，使⽤的是AutoOpen进⾏触发，这⾥可以尝试使⽤AutoClose，即关闭word时触发来达到⼀些杀软、沙箱的绕过：

利⽤远程模板，因为不具备恶意宏代码，文件本身成功绕过了某杀软：

并且cobaltstrike上线也毫无阻拦：

1.3 RLO

RLO，即Right-to-Left Override，我们可以在⽂件名中插⼊此类unicode字符，来达到⽂件名反转的效果， 如下图就是⼀个插⼊Rlo字符后的⽂件名，看后缀是个txt：

https://www.heibai.org/zb_users/upload/2020/09/20200906175312_89223.png

但是看⽂件详情⼜是个scr⽂件：

下图展示了打开⼀个看似是png图⽚后缀的⽂件，却执⾏了notepad

1.4 ⾃解压

rar压缩⽂件，可以把⽂件进⾏压缩，然后运⾏后进⾏⾃解压的操作

如果我们把⼀个恶意的⽂件和⼀个图⽚组合在⼀起，打包运⾏后，程序进⾏⾃解压，看到的是⼀张图⽚，但是后⾯⽊⻢程序已经悄悄运⾏了，这种效果如何？看下⾯的动图展示：

1.5 ⾃解压+RLO

上⾯介绍了⾃解压和RLO，那如果两者组合在⼀起呢？

我们把pe⽂件反转成png后缀、修改pe⽂件的ico图标，最后实施⾃解压操作。即看起来是个图⽚，后缀也是个图⽚，打开也是个图⽚，效果如何呢？

1.6 回执

当我们想要对从⽹上收集到的邮箱进⾏邮件钓⻥时，⼀⼤堆邮箱，怎么确保对应的邮箱依然存活，⼜或者说哪些邮箱的钓⻥成功率⾼点？这时候就需要⽤到邮箱的回执功能，当开启回执时，我们的邮件被对⽅已读时，我们就会收到⼀份回执信息：