常见网络钓鱼分析

前几天老李给大家分析了一个关于快递业数据泄露的案例，发现很多小伙伴都对如何防范个人隐私数据泄露的方法很感兴趣。

以老李的工作经验来看，已知的个人数据泄露事件中大部分人都是遇到了钓鱼攻击。下面我们从攻击者的角度给讲一下，希望给大家一些帮助。

给Link链接，也就是我们常说的快捷方式增加参数，在启动正常程序的过程中执行木马或病毒程序。

CHM文常是我们非常易容见到的电子书格式，攻击者可以通过EasyCHM软件可以轻松的新建一个 chm 文件，并且能够内置木马、病毒等各种可执行脚本

HTA 是 HTML Application 的缩写，直接将 HTML 保存成 HTA 的格式，是一个独立的应用软件。HTA虽然用HTML、JS和CSS编写，却比普通网页权限大得多，它具有桌面程序的所有权限。就是一个 html 应用程序，双击就可以运行，但是正常是msf生成的hta文件弹shell，可以在命令执行木马、病毒等各种可执行脚本。

OFFICE软件的宏功能，虽然宏功能可以帮我们做很多的工作，但是宏里面也很可能集成了木马、病毒等各种可执行脚本。

这个方式的原理是，如果我们往word中插进联机视频，那么再word的压缩包 word/document.xml里的embeddedHtml项中会出现联机视频对应的内嵌html代码，我们可以通过修改这些代码，插入恶意js代码。

Office历史上出现的可导致远程命令执行的漏洞有很多、如：CVE-2017-0199、CVE-2017-8570、CVE-2017-8759、CVE-2017-11882、CVE-2018-0802 等

运行程序比如可以选用cs powershell 的代码。选择ppsx进行保存

然后弹出的窗口处就可以加入木马、病毒等各种可执行脚本。

对热门程序进行逆向修改，添加木马、病毒等各种可执行脚本，然后进行加密杀。

将exe格式的恶意文件进行图标伪装，例如使用 Restorator 2018 小工具进行图标修改。很多古老的钓鱼方法都使用这种方法。

将木马文件、迷惑文件放入winrar，选中这两个文件，右键添加至压缩包，创建自解压格式压缩文件

高级 -> 自解压选项 -> 设置

提取前打开伪装文件，提取后运行马

模式 -> 全部隐藏

更新 -> 解压并更新文件，覆盖所有文件

DLL劫持指的是病毒通过一些手段来劫持或者替换正常的DLL，欺骗正常程序预先准备好的恶意DLL

搭建邮件服务器，模拟发件邮箱地址受害者发送带有木马、病毒的下载链接或者附件中带上恶意文件。

利用Flash漏洞发布带有木马、病毒等载荷的小动画，当受怕者打开就会执行。

制作钓鱼网站，克隆网站。