DIY装机联盟-电脑故障排除|装机指南|硬件配置|电脑知识

DIY装机联盟-电脑故障排除|装机指南|硬件配置|电脑知识

http://www.jinanshengke.com

菜单导航

网络钓鱼攻击文件的几种姿势

作者: 庄吉 发布时间: 2021年03月19日 03:30:26

网络钓鱼是最常见的社会工程学攻击方式之一。所谓社会工程学,是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。在生活工作中,最常使用的邮件、各种文档也成为黑客常用的攻击载体。近些年来,网络钓鱼攻击趋势也一直呈增长趋势,特别是在APT攻击、勒索软件攻击等事件中,扮演了重要的角色。

姿势1:内嵌链接

在PDF、Office文档中内嵌一个跳转链接是很早期的钓鱼方式,通过文字信息的引导,让受害者点开页面,如果缺乏戒心,就可能会获取到受害者的账号、密码、银Ka、身份Zheng等信息。

image

Office、Adobe等应用软件目前都对打开外部链接都会弹框进行安全提醒,这种方式也比较容易引起人类警觉。

姿势2:Office宏

宏是Office自带的一种高级脚本特性,通过VBA代码,可以在Office中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。由于早些年宏病毒泛滥,现在Office的宏功能已经默认是禁用,但依然无法阻挡攻击者使用宏。那么如何引诱受害者开启宏功能就是关键了,常用的套路:

文档是被保护状态,需要启用宏才能查看;

添加一张模糊的图片,提示需要启用宏才能查看高清图片;

提示要查看文档,按给出的一系列步骤操作;

贴一张某杀毒软件的Logo图片,暗示文档被安全软件保护。

image

image

恶意宏代码在免杀和增加分析难度的手段上也多种多样,除了把VBA代码混淆变形外,利用Excel的特性隐藏代码也很常见。

image

上图中996-1006行被隐藏。取消隐藏后,由于字体颜色与背景色相同,所以也难看到,修改这部分背景色查看如下。

image

image

利用OLEDump工具,可以看到这段宏代码是读取了这部分内容进行恶意文件的下载。

姿势3:CHM文档

CHM是Windows帮助文件(如电子书)使用的扩展名,此文件可以被植入可执行代码。成功的利用需要欺骗用户打开恶意的CHM文件,该文件可用于执行恶意代码。其缺点就是打开时会出现弹黑框、卡顿,容易被察觉。

image

上图是一例恶意CHM文档,打开或点击左侧标题时就会执行powershell代码。通过HH.exe进行反汇编可以看到其执行代码。

image

CHM文件的利用虽然历史悠久,但通过免杀手段依然活跃,著名的Cobalt Strike就支持CHM钓鱼文件的生成。

姿势4:漏洞利用

利用Office、Adobe、IE等应用软件的漏洞,精心制作成诱饵文档,是APT攻击中的常客。现实中可能不会及时更新打补丁,这种攻击方式的成功率是比较高的。这类文档除了挑选漏洞外,对文件命名也煞费苦心,通常会起最近的热点新闻,或跟自身相关的名字,让人看了不得不点开看看。

本文地址:http://www.jinanshengke.com/wlzs/63767.html

请遵守互联网相关规定,不要发布广告和违法内容