資源共享吧|易語言論壇|逆向破解教程|輔助開發(fā)教程|網(wǎng)絡安全教程|rigasin.com|我的開發(fā)技術隨記

標題: 釣魚郵件制作以及宏免殺 [打印本頁]
作者: 滲透測試工程師    時間: 2020-2-21 20:14
標題: 釣魚郵件制作以及宏免殺
釣魚郵件制作以及宏免殺

前言:前幾天有個瓜娃子說我寫的水文不太親民,大部分復現(xiàn)有一些難度,所以決定這段時間寫一些非web的科普文(web是不可能寫web的一輩子都不可能水web的文章)。



1.釣魚郵件的制作

因為說了是科普文所以用最原始的宏病毒,為了方便演示用Cobalt Strike演示。

1.1Cobalt Strike生成宏代碼

(, 下載次數(shù): 77)


圖1.Cobalt Strike生成宏代碼

1.2打開office,創(chuàng)建可以啟用宏的word(如doc,docm等),視圖→宏→查看宏→創(chuàng)建宏,把之前復制的宏腳本粘帖進去,然后保存。

(, 下載次數(shù): 75)


圖2.插入宏代碼           

就這樣一封超級簡單的釣魚郵件就制作完成了。只要用戶點擊宏就能觸發(fā)回連了


(, 下載次數(shù): 74)


2.宏免殺/靜態(tài)查殺(EvilClippy的使用)



2.1為什么釣魚附件進不了收件箱

    隨著類似msf,Cobalt Strike工具的出現(xiàn),釣魚郵件的制作成本大大降低了。但隨之的問題也出現(xiàn)了,因為工具一般是寫死的,無法定制化惡意執(zhí)行代碼,導致惡意代碼的特征值很容易被抓取,會被發(fā)件服務器,收件郵件網(wǎng)關,本地殺毒等一系列防護設備或措施攔截。所以為了郵件能進收件箱,要搞清楚我們的釣魚郵件在哪一個步驟掛掉了。一般常見的郵件流程如下:

郵件→郵件服務器→防毒→防垃圾→收件箱

2.2如何進行免殺

上文說到要搞清楚我們的附件在什么環(huán)節(jié)被殺了,首先科普一下當下殺軟的三種查殺方式:1.靜態(tài)查殺 2.云查殺 3.行為查殺。郵件服務器為了可用性和隱私性一般只有靜態(tài)查殺。所以我們只需要規(guī)避特征值繞過靜態(tài)查殺就可以讓釣魚附件進入收件箱了。如何規(guī)避靜態(tài)查殺?最好的辦法當然是自己寫惡意代碼,但大部分云黑客都是腳本小子,這也沒關系,現(xiàn)在gayhub上也有很多免殺開源的腳本。這里以EvilClippy作為演示

地址:https://github.com/outflanknl/EvilClippy/releases

2.3EvilClippy的使用

下載EvilClippy腳本,并運行,這里我們用-s參數(shù)


(, 下載次數(shù): 75)


圖4.EvilClippy菜單頁面

-s參數(shù)是通過假的vba代碼插入到模塊中,用以混淆殺毒程序,這里我們需要寫一個正常無毒的vba腳本。

(, 下載次數(shù): 78)


圖5.hello.vba

我們瞎雞兒寫一個vba腳本,并保存為hello.vba。然后我們運行EvilClippy。
命令:EvilClippy.exe -s hello.vba diaoyu.doc

(, 下載次數(shù): 73)

圖6.EvilClippy進行混淆

把生成的doc扔到在線查殺,結果如圖7,查殺率不算太高,但是過靜態(tài)查殺應該綽綽有余

(, 下載次數(shù): 76)

圖7.在線查殺

點擊釣魚文檔,啟用宏,成功上線


(, 下載次數(shù): 75)


圖8.回連上線

寫在最后:

    因為郵件網(wǎng)關為了隱私性不可能開啟云查殺,為了性能更不可能開啟行為查殺,所以靜態(tài)查殺還是挺好繞過的,再配合我之前的文章:釣魚發(fā)件人偽造,效果更佳。

    釣魚郵件的本質就是不停地跟郵服防御措施進行對抗,通過不同的CVE進行組合更改,繞過。說到安全策略這一塊做得OK不得不提gmail的反釣魚策略,真的是強的一批,策略更新的也非常的快。



作者: 1700311361    時間: 2020-4-17 16:05
祝資源共享吧越來越火!



歡迎光臨 資源共享吧|易語言論壇|逆向破解教程|輔助開發(fā)教程|網(wǎng)絡安全教程|rigasin.com|我的開發(fā)技術隨記 (http://rigasin.com/) Powered by Discuz! X3.4