阅读量:2
目录
0x00 基础
1. 方式
钓鱼攻击是一种典型的欺诈式攻击手段,攻击者通过伪装成可以信任的角色,利用电子邮件或其他通信渠道向被攻击者发送植入了木马的文档或恶意链接,并诱骗被攻击者点击执行,从而实现对被攻击者计算机的远程控制或恶意程序感染。
2. 目的
实战攻防演练中,蓝目标进行钓鱼攻击的主要目的是在目标网络中建立支点,实现外网打点突破或内网定向攻击。通过钓鱼攻击控制被攻击者主机,并利用内网信息搜集手段从被控的目标主机上搜集有关目标网络的安全认证、业务应用系统操作、网络共享访问、网络组织架构和部门人员等敏感信息,为后续进一步攻击渗透积累条件。
3. 分类
根据钓鱼的具体实现目标的不同,钓鱼攻击分为外网钓鱼和内网钓鱼。
内网钓鱼和外网钓鱼的区别:
| 外网钓鱼 | 内网钓鱼 | |
|---|---|---|
| 钓鱼目标 | 微信客服,官网平台客服 | 网络运维人员,重要人员 |
| 钓鱼途径 | 微信公众号客服,官网平台客服,招聘人员,外网邮件服务器 | 内网OA,内网邮件服务器,内网实时通信平台,内网水坑 |
| 冒充身份 | 客户,友商 | 内部领导或同事 |
| 钓鱼素材 | 服务投诉或咨询,业务合作,应聘等 | 工作交流,工作通知 |
| 钓鱼术语 | 投诉要强硬,合作要赢取信任,应聘要对口 | 开门见山,直接抛出诱饵 |
0x01 外网钓鱼
1. 目的
外网钓鱼的主要目的是实现对目标网络的打点突破,即向前期搜集到的目标内部人员邮箱、平台客服、微信公众号发送植入了木马的文件,诱骗目标人员点击钓鱼文件,使木马在对方主机上运行回连,实现对目标主机的远程控制,并以此为支点进一步渗透目标内网。
2. 步骤
目标选定,工具准备,钓鱼素材和沟通话术准备,进行钓鱼。
工具准备:
工具的准备工作主要围绕诱骗文档格式选择和木马免杀展开:诱骗文档格式决定了木马触发的方式,木马免杀则决定了是否成功运行并回连控制。
在实战攻防演练中常见的诱骗文档格式和形式有可执行文件、反弹脚本、Office宏、Office文档捆绑、CHM文档、LNK文件、HTA文件、文件后缀RTLO和自解压运行压缩包等,这些文档格式和形式可以根据钓鱼素材灵活搭配使用。
木马免杀则主要依据前期目标信息搜集,综合考虑目标网络安全防护、杀毒软件类型、钓鱼目标个人办公环境等因素进行有针对性的免杀,以确保木马顺利执行并出网回连。
0x02 内网钓鱼
1. 目的
内网钓鱼的主要目的是实现在内网中的定向攻击,主要针对目标网络运维管理人员、重要业务人员或部门领导,因为这些人往往掌握目标网络或业务比较核心的资源信息,突破这些重要人员的主机并获取重要的目标网络信息,会给渗透拓展带来很大的便利。
2. 步骤
目标选定,工具准备,钓鱼素材和沟通话术准备,进行钓鱼。
0x03 钓鱼应急措施
反溯源应对:
针对被对方发现并有可能被对方分析溯源的情况,需要对钓鱼文档或木马做好反溯源处理,具体方法如下:
- 彻底清除文档或木马编译生成时自动搜集和集成到文档内部的操作系统、文件路径或计算机用户名信息;
- 对木马可执行文件进行加壳或代码混淆处理,增加逆向分析难度;
- 编译木马时对其反弹回连所需的域名、IP地址和端口等关键字段信息进行加密处理,防止泄露,防止此类敏感信息被分析到;
- 木马回连域名、IP地址和端口使用备份机制,每个木马中集成2个以上回连选择,在1个域名IP地址被封的情况下,备用域名IP地址可能会发挥作用。
