釣魚(yú)郵件制作以及宏免殺

滲透測(cè)試工程師

釣魚(yú)郵件制作以及宏免殺

前言：前幾天有個(gè)瓜娃子說(shuō)我寫(xiě)的水文不太親民，大部分復(fù)現(xiàn)有一些難度，所以決定這段時(shí)間寫(xiě)一些非web的科普文（web是不可能寫(xiě)web的一輩子都不可能水web的文章）。



1.釣魚(yú)郵件的制作

因?yàn)檎f(shuō)了是科普文所以用最原始的宏病毒，為了方便演示用Cobalt Strike演示。

1.1Cobalt Strike生成宏代碼




圖1.Cobalt Strike生成宏代碼

1.2打開(kāi)office，創(chuàng)建可以啟用宏的word（如doc,docm等）,視圖→宏→查看宏→創(chuàng)建宏，把之前復(fù)制的宏腳本粘帖進(jìn)去，然后保存。




圖2.插入宏代碼           

就這樣一封超級(jí)簡(jiǎn)單的釣魚(yú)郵件就制作完成了。只要用戶點(diǎn)擊宏就能觸發(fā)回連了





2.宏免殺/靜態(tài)查殺（EvilClippy的使用）



2.1為什么釣魚(yú)附件進(jìn)不了收件箱

    隨著類似msf,Cobalt Strike工具的出現(xiàn)，釣魚(yú)郵件的制作成本大大降低了。但隨之的問(wèn)題也出現(xiàn)了，因?yàn)楣ぞ咭话闶菍?xiě)死的，無(wú)法定制化惡意執(zhí)行代碼，導(dǎo)致惡意代碼的特征值很容易被抓取，會(huì)被發(fā)件服務(wù)器，收件郵件網(wǎng)關(guān)，本地殺毒等一系列防護(hù)設(shè)備或措施攔截。所以為了郵件能進(jìn)收件箱，要搞清楚我們的釣魚(yú)郵件在哪一個(gè)步驟掛掉了。一般常見(jiàn)的郵件流程如下：

郵件→郵件服務(wù)器→防毒→防垃圾→收件箱

2.2如何進(jìn)行免殺

上文說(shuō)到要搞清楚我們的附件在什么環(huán)節(jié)被殺了，首先科普一下當(dāng)下殺軟的三種查殺方式：1.靜態(tài)查殺 2.云查殺 3.行為查殺。郵件服務(wù)器為了可用性和隱私性一般只有靜態(tài)查殺。所以我們只需要規(guī)避特征值繞過(guò)靜態(tài)查殺就可以讓釣魚(yú)附件進(jìn)入收件箱了。如何規(guī)避靜態(tài)查殺？最好的辦法當(dāng)然是自己寫(xiě)惡意代碼，但大部分云黑客都是腳本小子，這也沒(méi)關(guān)系，現(xiàn)在gayhub上也有很多免殺開(kāi)源的腳本。這里以EvilClippy作為演示

地址：https://github.com/outflanknl/EvilClippy/releases

2.3EvilClippy的使用

下載EvilClippy腳本，并運(yùn)行，這里我們用-s參數(shù)





圖4.EvilClippy菜單頁(yè)面

-s參數(shù)是通過(guò)假的vba代碼插入到模塊中，用以混淆殺毒程序，這里我們需要寫(xiě)一個(gè)正常無(wú)毒的vba腳本。




圖5.hello.vba

我們瞎雞兒寫(xiě)一個(gè)vba腳本，并保存為hello.vba。然后我們運(yùn)行EvilClippy。
命令:EvilClippy.exe -s hello.vba diaoyu.doc



圖6.EvilClippy進(jìn)行混淆

把生成的doc扔到在線查殺，結(jié)果如圖7，查殺率不算太高，但是過(guò)靜態(tài)查殺應(yīng)該綽綽有余



圖7.在線查殺

點(diǎn)擊釣魚(yú)文檔，啟用宏，成功上線





圖8.回連上線

寫(xiě)在最后：

    因?yàn)猷]件網(wǎng)關(guān)為了隱私性不可能開(kāi)啟云查殺，為了性能更不可能開(kāi)啟行為查殺，所以靜態(tài)查殺還是挺好繞過(guò)的，再配合我之前的文章：釣魚(yú)發(fā)件人偽造，效果更佳。

    釣魚(yú)郵件的本質(zhì)就是不停地跟郵服防御措施進(jìn)行對(duì)抗，通過(guò)不同的CVE進(jìn)行組合更改，繞過(guò)。說(shuō)到安全策略這一塊做得OK不得不提gmail的反釣魚(yú)策略，真的是強(qiáng)的一批，策略更新的也非常的快。

1700311361

祝資源共享吧越來(lái)越火！