社工钓鱼手法总结与教学文档

社工钓鱼手法总结与教学文档 1. RLO文件名翻转技术 1.1 技术原理 RLO (Right-to-Left Override) 是一种Unicode控制字符 (U+202E) 设计初衷：支持从右向左书写的语言（如阿拉伯语、希伯来语） 安全利用：使插入点后的字符串从右向左重新排列，用于伪造文件扩展名 1.2 操作步骤 构造文件名：如 文档gnp.exe → 在"gnp"前插入RLO字符 使用工具修改文件图标（如Resource Hacker） 推荐图标提取工具：BeCyIconGrabberPortable 1.3 注意事项 中文文件名中"exe"会显得突兀，需巧妙构造 实际文件仍是可执行程序，需配合其他手段增强欺骗性 限制： QQ/网易邮箱会拦截含特殊Unicode字符的文件 WinRAR中RLO字符会显示为箭头(→) 2. 超长文件名技术 2.1 技术原理 利用Windows对超长文件名的显示特性： 超出部分会被隐藏为省略号 可掩盖真实文件扩展名 2.2 操作示例 构造如 这是一个非常非常非常...长的文档名称.doc.exe 的文件名 2.3 局限性 压缩包中仍会显示完整扩展名 文件图标类型可能暴露真实性质 3. 自解压文件技术 3.1 技术原理 创建内置解压程序的自解压压缩包，可预设： 解压路径 解压后自动执行 隐藏解压过程 3.2 配置步骤 使用压缩工具创建自解压包 设置： 解压路径（如 C:\Temp ） "解压后运行"选项 "隐藏解压过程"选项 自定义图标 3.3 增强技巧 结合RLO技术修改文件扩展名 将正常文件与恶意程序一起压缩，降低用户警惕 4. 文件捆绑技术 4.1 技术原理 将恶意程序(b.exe)附加到正常程序(a.exe)末尾，实现： 执行a.exe时同时执行b.exe 表面上是正常程序 4.2 实现方式 使用专用捆绑工具合并文件，生成单一可执行文件 5. Office宏攻击 5.1 Word宏攻击 基本方法： 使用Cobalt Strike创建宏代码 在Word中新建宏并替换为恶意代码 保存为.docm格式 需要用户启用宏 高级方法（远程模板加载）： 将恶意宏保存为.dotm模板 上传模板到远程服务器 创建正常.docx文件 修改其内部settings.xml.rels指向远程模板 注意：新版Word已禁用远程宏加载 5.2 Excel宏攻击 创建恶意.msi文件 使用MSF开启监听 Excel中创建宏并插入恶意函数 设置工作表隐藏 需要免杀处理以绕过杀软检测 6. CHM文件攻击 6.1 CHM文件特性 微软编译的帮助文档格式 可包含HTML、JavaScript等 6.2 制作步骤 创建包含恶意命令的HTML文件 使用CHM编译工具编译 用户点击特定页面时执行命令 6.3 注意事项 执行时会有安全警告 360等杀软会监控cmd调用 7. LNK快捷方式攻击 7.1 远程代码加载 修改快捷方式目标为恶意命令（如CS上线代码） 需要免杀处理 7.2 本地文件加载 创建多层隐藏文件夹结构 放置免杀恶意程序 设置快捷方式目标指向该程序 示例： C:\Windows\explorer.exe ".._MACOSX._MACOSX...\calc.exe" 7.3 图标伪装 尝试修改LNK文件的ICON_ LOCATION字段伪装为其他文件类型 综合防御建议 用户教育：警惕非常规文件扩展名 系统设置：显示完整文件名 安全软件：启用对特殊字符文件的检测 宏安全：默认禁用宏或仅允许签名宏 邮件过滤：拦截含特殊Unicode字符的附件