红蓝对抗之邮件钓鱼攻击

文|腾讯蓝军 jumbo
红蓝对抗越加普遍及重要,甚至成为了大型赛事,随之?来的是防守方大量部署安全设备,如FW、WAF、IDS、IPS等,想要从Web端深?到对?内?已经困难重重。但是,?永远是最?的弱点,在日渐增多的防护设备?前,钓?攻击(Phishing)已经成为对抗中?种必不可少且非常有效的攻击?法(近期也见到实际攻击中针对HR的邮件钓鱼攻击),一旦有人中招,攻击队就直接能进?目标办公?,这也是钓?的魅?之?。其实钓鱼攻击也一直是APT高级持续威胁的主要打点手段,网络上公开的APT攻击案例中超过80%都使用钓鱼攻击。
本?将以腾讯蓝军真实项?中的一部分细节为?家介绍?些钓??段和钓?话术。
Part 1. 钓鱼手段
1.1 lnk
lnk?件,简单理解为快捷?式,创建?式如下:

下图为calc.exe的快捷?式的属性信息,我们可以在“?标”栏写???的恶意命令,如powershell上线命令:

?在实施钓?过程中,对于我们的calc.exe的快捷?式来说,?个??的计算机ico图标,显然看起来不像?个好玩意,因此可以尝试在“属性”中去更改该?件的图标:

但是?系统?带的ico去做?件图标替换的话,有个弊端,即当替换的ico在?标机器上不存在时,就会出现类似空?ico图标:

根据crazyman师傅所说,修改lnk的icon_location标志位,修改为相关后缀,系统即可?动联想到对应的打开?式:

?如我的pdf默认是由edge浏览器打开,则在icon_location中设置为pdf后缀时,?件的ico也会自动显示为edge浏览器打开的图标, 这样可以达到?适配的效果:

当受害者中招打开我们的所谓的pdf,实则为恶意的快捷?式时,双击两下,什么反应都没有,可能会有?丝疑惑,因此可以当尝试?powershell、mshta等?式上线时,我们可以更改如cobaltstrike?成的代码,加上?段?动下载打开?份真的pdf,来达到逼真的效果。
下?的动图,展示了打开?个快捷?式钓??件时,逼真的打开了真实的简历,然后在背后悄悄的上了线:

1.2 宏
在word中可以植?宏来达到运?宏上线的?的,?cobaltstrike也正好?带了这种攻击?式:

然后在word的视图功能中植?相关宏:

但是此种办法有个弊端,就是宏代码是存在本地的,极易被杀软查杀。
因此我们可以尝试使?远程加载模板的?式在进?宏加载。我们可以更改word中 \word_rels\settings.xml.rels内容来加载远程模板,加载远程模板打开word会有类似如下提示:

成功加载远程模板:

并且,像cobaltstrike?成的宏代码,使?的是AutoOpen进?触发,这?可以尝试使?AutoClose,即关闭word时触发来达到?些杀软、沙箱的绕过:

利?远程模板,因为不具备恶意宏代码,文件本身成功绕过了某杀软:

并且cobaltstrike上线也毫无阻拦:

1.3 RLO
RLO,即Right-to-Left Override,我们可以在?件名中插?此类unicode字符,来达到?件名反转的效果, 如下图就是?个插?Rlo字符后的?件名,看后缀是个txt:

但是看?件详情?是个scr?件:

下图展示了打开?个看似是png图?后缀的?件,却执?了notepad:

1.4 ?解压
rar压缩?件,可以把?件进?压缩,然后运?后进??解压的操作:

如果我们把?个恶意的?件和?个图?组合在?起,打包运?后,程序进??解压,看到的是?张图?,但是后???程序已经悄悄运?了,这种效果如何?看下?的动图展示:

1.5 ?解压+RLO
上?介绍了?解压和RLO,那如果两者组合在?起呢?
我们把pe?件反转成png后缀、修改pe?件的ico图标,最后实施?解压操作。即看起来是个图?,后缀也是个图?,打开也是个图?,效果如何呢?

1.6 回执
当我们想要对从?上收集到的邮箱进?邮件钓?时,??堆邮箱,怎么确保对应的邮箱依然存活,?或者说哪些邮箱的钓?成功率?点?这时候就需要?到邮箱的回执功能,当开启回执时,我们的邮件被对?已读时,我们就会收到?份回执信息:

这种情况下,我们就可以对已读的邮箱进?深?钓?。
Part 2. 钓鱼话术
上?提到了很多钓?攻击?段,但是就如word宏章节,如果不依赖漏洞的情况下,如何让对?点击启?宏,如何让对?信任你的?件,都需要话术的?撑。下?就来看看钓?的?些话术和?段。
2.1 SRC假漏洞
当?标企业存在类似SRC漏洞奖励计划时,我们可以去提交?个假漏洞,并把恶意?件附在其中,并说是漏洞复现程序:

有些同学就会说了,对SRC安全技术人员进行钓鱼,这不是?投罗?吗。当然,钓?安全?员,成功率极低。但是换位思考下,如果你是SRC审核?员,?个?帽?提交了核?应?,且有图有真相的漏洞复现截图的时候,这种情况下,明知道可能有恶意??的?险,也不得不去冒险,因为如果这是?个真的大漏洞的话,不及时处理可能会造成极大坏影响。
这里为了保证“漏洞”的有效性,特地让程序随机吐出看似逼真的数据,SRC审核?员,你还敢点击?帽?的复现?具吗?

当SRC审核?员迟迟不点击的时候,可以施加压力,站在更高的角度上来进?“漏洞督促”:

2.2 简历
简历投递是?个百试不爽的钓?话术?段,从腾讯蓝军进?的远程办公安全演习也能窥之??。

这?再提?句,?定要逼真,?如在简历钓?邮件中,可以留上你的名字、?机号码、学校等信息。
我们讨论下,为什么简历投递钓鱼在腾讯蓝军的远程办公安全演习、其他红蓝对抗项目中效果出类拔萃呢?我觉得有如下几点:
1、首先,我们的邮箱从哪里来?邮箱收集可以从领英、v2ex、搜索引擎等渠道获取,那为什么会在上述地方出现邮箱地址?大多数原因都是用人单位急招人,项目急需人,因此会在各平台留下简历投递的邮箱,而又正好被攻击者获取,而受害者又相信投递者都是善良的,还能解决招人的燃眉之急,在这种情况下,提高了简历投递钓鱼的成功率;
2、如果你的简历邮件写的足够漂亮,对于一个公司、面试官来说,一个好的人才,怎能轻易放过?
3、别忘了,收简历的人大多数是什么人,是HR。那我们继续想想,为什么HR不提防?首先,HR大多数是女生,女生比较善良、不设防,又非技术人员,这两者组合在一起,绝对是属于安全意识最薄弱的人之一了;
4、简历拥有分发属性。我们在多次钓鱼项目中发现,当你投递的简历到非对应项目人的邮箱里时,他会帮你转发,甚至有些热心的HR还会帮你录入到内部人才库,这相当于一下子从不可信变成内部可信了,这也是简历投递钓鱼有意思的地方。
2.3 宏钓?
在上?钓??段中的宏钓?攻击中,如何让受害者点击允许运?宏呢?
我们可以尝试使?如下?段,背景为?个虚化的简历图?,然后在上?再加上?段?字,意思告诉受害者,这是?份简历,但是因为你没点击宏运?,所以看不清,要想看清,请点击运?宏:

2.4 合作
合作是?个公司发展必不可少的,我们可以在?站下?找?些合作邮箱,以合作的名义去进?合作邮件钓?。
并且,在下?的案例中,笔者伪造的公司是跟受害者公司是?个区域的,因为如果你随便找了个其他地域的公司,受害者公司业务没覆盖到那边的话,很可能就不会理会你的邮件。

2.5 可信站点附件中转
我们进?钓?攻击时,会常常把??直接放在邮件正?中,但是对?邮件?关可能有杀软沙箱,会拦截带有恶意?件的邮箱,这时候可以尝试对?件进?加密处理。
除了加密处理外,还可以使?可信站点作为中转,?如我准备钓?的员?是{domain}.com公司下的,那如果我们把附件传到*.{domain}.com域下的话,当对?看到下载地址是{domain}.com域的话,下载点击的成功率是不是更?了点呢?是不是有点像XSS?

2.6 技术交流
技术?员,最喜欢的莫过于有个志同道合的朋友?起交流技术。
下图钓?话术?段,就是伪造?个跟受害者研究同个技术的技术交流邮件,来进?钓?欺骗:

2.7 钓??站
如果能获取到对?的账号密码,那肯定是极其不错的。
常?的话术有:
1、大型安全演练期间,请打补丁;
2、公司福利活动,请登录下载领取;
……
这里我们的钓??段为想要获取该公司使?的某个平台的账号密码,因此我们发的钓?邮件是跟该平台有所关系,即平台升级:

并且购买?个相似域名,编写?摸?样的登录??:

并且访问后做引导,告知让他登录更新:

发现该平台使?了多因?认证,Token还有1分钟有效期,因此再次编写监控程序,当监控到有?输?账号密码,就进?邮件提醒,最后,顺利获取到受害者的账号密码:

2.8 第三?平台
很多公司都会在?如拉勾?、智联招聘进??作招聘,这种情况下,我们也可以在这些第三?平台上, 与面试官?对?的沟通交流,取得信任,最后进?钓?攻击:

2.9 加好友
在?常?活中,只有你多跟别?沟通,?家才会愿意跟你聊天,钓?亦然。
我们可以多加些受害者的项?群、聊天群,甚?是加??的好友,多聊聊天,让?家记住你,觉得你是个“好?”,就可以为后续的钓?做铺垫,提?钓?成功率:

下?的图?展示了当与受害者“交流沟通”?段时间后,已经完全“掌控”了对?,甚?对?在周末问我要简历时,为了防?客户机周末不间断的关机休眠,特地美名其?的说不想打扰到对?,等到?作?再投递相关“??”:

Part 3. 总结
钓??段层出不穷,了解钓??段是在攻防演习?环境下必不可少的技能之?。本?从真实项?中提取出来的钓??段、钓?话术给读者介绍了钓?中的管中窥豹。
?永远是最?的弱点,未知攻,焉知防。以攻促防希望能给安全建设带来帮助,祝愿人人都可以识别骗局,保护好自己和公司。
文中涉及的全部信息,只限用于技术交流和安全教育,切勿用于非法用途。
?

我们是TSRC
互联网安全的守护者
用户数据安全的保卫者
我们找漏洞、查入侵、防攻击
与安全行业精英携手共建互联网生态安全
期待正能量的你与我们结盟!
微信号:tsrc_team

关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号随时掌握互联网精彩
- 1 习近平将发表二〇二六年新年贺词 7904141
- 2 2026年国补政策来了 7808738
- 3 东部战区:开火!开火!全部命中! 7712893
- 4 2026年这些民生政策将惠及百姓 7616985
- 5 小学食堂米线过期2.5小时被罚5万 7519709
- 6 解放军喊话驱离台军 原声曝光 7428214
- 7 为博流量直播踩烈士陵墓?绝不姑息 7327605
- 8 每月最高800元!多地发放养老消费券 7238391
- 9 数字人民币升级 1月1日起将计付利息 7141831
- 10 2026年1月1日起 一批新规将施行 7040675








腾讯安全应急响应中心
