红蓝对抗之邮件钓鱼攻击

文｜腾讯蓝军 jumbo

红蓝对抗越加普遍及重要，甚至成为了大型赛事，随之⽽来的是防守方大量部署安全设备，如FW、WAF、IDS、IPS等，想要从Web端深⼊到对⽅内⽹已经困难重重。但是，⼈永远是最⼤的弱点，在日渐增多的防护设备⾯前，钓⻥攻击（Phishing）已经成为对抗中⼀种必不可少且非常有效的攻击⼿法（近期也见到实际攻击中针对HR的邮件钓鱼攻击），一旦有人中招，攻击队就直接能进⼊目标办公⽹，这也是钓⻥的魅⼒之⼀。其实钓鱼攻击也一直是APT高级持续威胁的主要打点手段，网络上公开的APT攻击案例中超过80%都使用钓鱼攻击。

本⽂将以腾讯蓝军真实项⽬中的一部分细节为⼤家介绍⼀些钓⻥⼿段和钓⻥话术。

Part 1. 钓鱼手段

1.1 lnk

lnk⽂件，简单理解为快捷⽅式，创建⽅式如下：

下图为calc.exe的快捷⽅式的属性信息，我们可以在“⽬标”栏写⼊⾃⼰的恶意命令，如powershell上线命令：

⽽在实施钓⻥过程中，对于我们的calc.exe的快捷⽅式来说，⼀个⼤⼤的计算机ico图标，显然看起来不像⼀个好玩意，因此可以尝试在“属性”中去更改该⽂件的图标：

但是⽤系统⾃带的ico去做⽂件图标替换的话，有个弊端，即当替换的ico在⽬标机器上不存在时，就会出现类似空⽩ico图标：

根据crazyman师傅所说，修改lnk的icon_location标志位，修改为相关后缀，系统即可⾃动联想到对应的打开⽅式：

⽐如我的pdf默认是由edge浏览器打开，则在icon_location中设置为pdf后缀时，⽂件的ico也会自动显示为edge浏览器打开的图标， 这样可以达到⾃适配的效果：

当受害者中招打开我们的所谓的pdf，实则为恶意的快捷⽅式时，双击两下，什么反应都没有，可能会有⼀丝疑惑，因此可以当尝试⽤powershell、mshta等⽅式上线时，我们可以更改如cobaltstrike⽣成的代码，加上⼀段⾃动下载打开⼀份真的pdf，来达到逼真的效果。

下⾯的动图，展示了打开⼀个快捷⽅式钓⻥⽂件时，逼真的打开了真实的简历，然后在背后悄悄的上了线：