当前位置：首页 > 无 > 正文

要不是中招，这些钓鱼手法肯定想不到

发布时间：2024-11-19 10:30分类：无浏览：238评论：0

导读：每次收到奇奇怪怪的邮件，群里总会有人在对答案：“这是在钓鱼么？”大多数时候，这种情况都是单位组织的钓鱼演练。愈加频繁的演练，让很多员工都炼成了火眼金睛，发件人、邮箱地址、超链接、附...

每次收到奇奇怪怪的邮件，群里总会有人在对答案：“这是在钓鱼么？”

大多数时候，这种情况都是单位组织的钓鱼演练。愈加频繁的演练，让很多员工都炼成了火眼金睛，发件人、邮箱地址、超链接、附件格式……哪里不对都能一眼看出来。

与此同时，钓鱼演练的0中招也掩盖了一些问题，员工更习惯于鉴别邮件或者聊天的安全性，演练结果似乎也皆大欢喜，但钓鱼攻击还远不止于此。

系统里的一个加急工单

你好，最近咱们线上商城支付系统总是出现卡单还是什么问题，支付后不显示订单信息，相关服务也不能正常使用。详细情况在附件里写了，麻烦帮忙加急处理一下。

类似的问题此前也有用户反馈过，多为网络延迟或者系统卡顿所致，唯一不同的是附件并不是常见的截图而是一个zip压缩包。

IM加码，客服系统钓鱼成功

令Shirley感觉到疑惑的是，在仔细查看完三张图片后，她并没有get到用户到底想反馈什么问题。恰在此时，系统内置的IM工具，弹出了来自该用户的消息：

带着些许疑惑，她点击了上面那个貌似word文档的exe文件，最终导致恶意代码执行。不过，微步终端安全管理平台OneSEC很快捕获了恶意行为。

图：OneSEC检测到Shellcode运行

后经发现，该样本为攻击队钓鱼木马，主要目的为窃取重要系统访问凭据并回传C2。在技术层面也并不复杂，为常见的白加黑绕过手法，EDR行为检测就可以检出。

真正难防的点在于投递入口选择了极为小众的工单系统，这是今年攻防演练中新兴的一种钓鱼手法，即便是企业常态化组织钓鱼演练，也主要聚焦于邮件钓鱼等传统钓鱼方式，导致用户压根就没想到这里也有木马。

这充分表明，只要信息传递通道，都有可能被攻击者用来钓鱼。即使是系统不允许上传或者发送文件，攻击者也可以在正文填写钓鱼网站、网盘链接等方式进行攻击。

而且随着社交化、SaaS化营销的不断普及，类似的通道会越来越多。

值得注意的是，除了寻找新的钓鱼入口之外，传统的钓鱼手法更是卷到飞起。

个人邮箱投递，绕过邮件网关拦截

不过，邮件网关通常只对企业邮箱生效。为了绕过邮件网关的拦截，许多攻击者开始尝试向个人邮箱投递钓鱼邮件，内容大多为求职、商业保险等看起来“不太方便”用户单位知道的事情。

如下图所示，攻击者以岗位JD为诱饵，向目标用户投递钓鱼邮件。

样本在下载运行后，OneSEC检测到有恶意Shellcode。

尽管操作难度陡然增加，但仍然有相当一部分攻击者乐此不疲。而且，今年的攻击者变得更加有耐心，愿意花足够的时间完成钓鱼。

例如攻击者以招投标投诉的名义，通过微信向招标方直接钓鱼攻击。

OneSEC检测结果如下所示：

针对IM钓鱼，OneSEC上线了攻击面收敛功能，可在主流IM工具，对高风险文件格式进行拦截，可参考《半夜加班，突然有人和我抢鼠标》。

总体来看，不论何种钓鱼方式，精细化钓鱼都已经成为主流。随着常态化攻防演练的开展，攻击者拥有更加充足的时间，通过各种渠道搜集目标用户的信息，确保钓鱼攻击看起来更加真实可信。

· END ·

排行

相关文章