钓鱼邮件导论(主讲人：查鲁特).pdf

LOGO T 0 0 L S 钓鱼邮件导论 主讲人：查鲁特 时间：2 0 2 3 . 0 7 前言 1.一方面是随着安全的发展，DMZ区域的安全设备越来越多，而且有价值的目标往往都不缺钱，安全能 力疯狂上，经常会出现一个单引号封一天的情况，这大大增加我们的入侵的难度和成本 2.另一方面，一些企业和机构也开始重视安全了，开始做安全治理，之前开放在公网的边界设备和服 务纷纷移入内网，可以打的资产变少了，难度自然增加 综上两点，钓鱼就成了一个可以一发入魂并且异常快捷高效的攻击方式。 邮件钓鱼是钓鱼的一种方式，虽然随着IM工具的兴起，钓鱼的主要方式也从邮件向微信，脉脉，TG 等即时社交工具偏移，但是邮件钓鱼作为一种经典方式还是值得讲一讲。 01 钓鱼邮件种类 02 钓鱼邮件手法 03 如何成功制作一封钓鱼邮件 01 •钓鱼邮件种类 钓鱼邮件种类 1 钓账号密码 2 钓权限 3 其他（如金融诈骗等） 钓账号密码 形态: 往往邮件正文会存在一个超链接，超链接往往指向伪造页面 /反向代理 目的: 以密码过期，权限失效等理由，威逼利诱引导受害者填写账 号密码。 钓权限 形态： 往往都会存在一个附件，可以是office文件，加密压缩的EXE，或者其他的可执行文件，内容一般是木马回连。也可以基 于目的不通执行不通的操作。（比如说可以过UAC并提权的勒索软件），当然可执行文件需要能过杀软和邮件网关，不 然都是白搭。 目的： 让用户执行附件，为了确保点击率，在话术上同样需要我们上一些手段，或威逼或者利诱，当然色诱也是一种方式。 钓权限 钓权限 目标环境： 为什么是docm: 邮件网关：本地EXChange 因为在测试能否过邮件网关的时候发现，exchange邮件网关的 拦截规则有点迷： 操作系统：Windows 拦截：doc ＋宏，可执行程序(exe，lnk等) 杀软：赛门铁克 进垃圾箱：加密压缩包 进收件箱：docm ＋宏(非恶意) 所以最终采用DOCM+宏的方式作为钓鱼附件，但是邮件和杀软拦截恶意特征的宏文件，所以需要我们进行一定 的绕过，这次的文档采用了宏拼接进行绕过特征值。 钓权限 这里我们采用宏拼接的方法。这是一个过静态免杀的姿势，目的是为了过关键字特征，拼接部分的取值可 以是文档任意部分，如左图就把代码插在了控件的属性变量中，在宏代码就可以直接取值 右边这张图是效果图和代码，为了方便大家理解，可以看下方 拼接后的结果 钓权限 最后到受害者展现的效果图可以如右图 一样，把样式改成不可见或者图裂的方 法，诱导受害者启用宏。 具体的内容细节可以看土司论坛我的文 章和微信公众号 其他类型钓鱼 形态: 二维码钓鱼，往往正文或者附件有一张二维码的 图片,可以是APP木马诱骗安装，可以是钓账号密 码，也可以是金融诈骗。二维码诈骗是一个比较 与时俱进的手法，毕竟二维码才出来多少年。 目的: 诱骗受害者扫描，一般分金融诈骗和手机权限钓鱼 金融诈骗：普遍是伪造银行页面，骗取银行卡号， 转账密码和短信验证码。 手机权限：装APK ，获取通讯录权限，最经典的就是 裸聊了。 02 钓鱼邮件手法 钓鱼邮件手法 01 伪造页面 02 伪造发件人