前几天老李给大家分析了一个关于快递业数据泄露的案例,发现很多小伙伴都对如何防范个人隐私数据泄露的方法很感兴趣。 以老李的工作经验来看,已知的个人数据泄露事件中大部分人都是遇到了钓鱼攻击。下面我们从攻击者的角度给讲一下,希望给大家一些帮助。 1、文档连接钓鱼1)LINK链接钓鱼给Link链接,也就是我们常说的快捷方式增加参数,在启动正常程序的过程中执行木马或病毒程序。 2)CHM文档钓鱼CHM文常是我们非常易容见到的电子书格式,攻击者可以通过EasyCHM软件可以轻松的新建一个 chm 文件,并且能够内置木马、病毒等各种可执行脚本 3)HTA钓鱼HTA 是 HTML Application 的缩写,直接将 HTML 保存成 HTA 的格式,是一个独立的应用软件。HTA虽然用HTML、JS和CSS编写,却比普通网页权限大得多,它具有桌面程序的所有权限。就是一个 html 应用程序,双击就可以运行,但是正常是msf生成的hta文件弹shell,可以在命令执行木马、病毒等各种可执行脚本。 4)宏钓鱼OFFICE软件的宏功能,虽然宏功能可以帮我们做很多的工作,但是宏里面也很可能集成了木马、病毒等各种可执行脚本。 5)嵌入JS元素这个方式的原理是,如果我们往word中插进联机视频,那么再word的压缩包 word/document.xml里的embeddedHtml项中会出现联机视频对应的内嵌html代码,我们可以通过修改这些代码,插入恶意js代码。 6)CVEOffice历史上出现的可导致远程命令执行的漏洞有很多、如:CVE-2017-0199、CVE-2017-8570、CVE-2017-8759、CVE-2017-11882、CVE-2018-0802 等 7)PPT动作按钮特性构造 PPSX 钓鱼运行程序比如可以选用cs powershell 的代码。选择ppsx进行保存 ![]() 然后弹出的窗口处就可以加入木马、病毒等各种可执行脚本。 ![]() 2、exe等可执行文件对热门程序进行逆向修改,添加木马、病毒等各种可执行脚本,然后进行加密杀。 1)exe伪装将exe格式的恶意文件进行图标伪装,例如使用 Restorator 2018 小工具进行图标修改。很多古老的钓鱼方法都使用这种方法。 2)rar解压自运行将木马文件、迷惑文件放入winrar,选中这两个文件,右键添加至压缩包,创建自解压格式压缩文件 ![]() 高级 -> 自解压选项 -> 设置 提取前打开伪装文件,提取后运行马 ![]() 模式 -> 全部隐藏 ![]() 更新 -> 解压并更新文件,覆盖所有文件 ![]() 3)DLL劫持+重新制作安装包DLL劫持指的是病毒通过一些手段来劫持或者替换正常的DLL,欺骗正常程序预先准备好的恶意DLL 3、邮件钓鱼搭建邮件服务器,模拟发件邮箱地址受害者发送带有木马、病毒的下载链接或者附件中带上恶意文件。 4、flash钓鱼利用Flash漏洞发布带有木马、病毒等载荷的小动画,当受怕者打开就会执行。 5、网站钓鱼制作钓鱼网站,克隆网站。 |
|