什么都不说了,愿者上钩。

参考文章:腾讯SRC出品

手段

Ink文件,也就是windows上的快捷方式。

我们在windows上创建如下:

image-20200917162442277

当然这还很粗糙需要改以下图标。

工具使用ResHacker-图标替换.exe

网上有很多很好的ico可以下载下来进行替换

最后替换成功如下:

但很不幸这个工具只能替换可执行文件,其不认识快捷方式导致只能生成.exe后缀的文件:

image-20200919083933633

而下面是直接替换ico替换的:

image-20200919083843452

这样看着很完美,但其实在传输到对方电脑后由于对方电脑没有这个ico而导致变成白的快捷方式。

并且在钓鱼时候需要注意对方所使用电脑的机型,如果是MAC,,exe文件也将没有作用。

还有就是注意方式,直接通过聊天是不行的,聊天能够识别对应的文件类型而显示图标。

我这个做好了通过微信,QQ等社交工具传播依然只能显示空白ico。

所以邮箱成为了钓鱼的最主要方式,因为邮箱不带有识别ico的作用。

花式钓鱼,做一个假的后台欺骗相关人员让他们尝试登陆。

制作步骤:把真实的后台的前端代码直接全部粘贴下来保存为1.html。然后自己写负责接收密码和保存的php文件,将鱼儿输入的用户名和密码直接传输到VPS上。

需要漏洞的钓鱼:

配合XSS和CSRF之类的或者是URL跳转的漏洞利用链接的方式钓相关网站运维或者管理员。

免杀

其实图标以及一些钓鱼话语的精心制作并不难,困难的是木马的免杀。虽然大佬们都制造出了很多可以过360,天擎,火绒的木马,但奈何出现后还是会被丢掉威胁平台里面,最后再被研究从而不能免杀。

本人过菜,没法自己编写免杀马,只能用一下大佬实时更新的免杀马。

绕过监测:

这一块儿自己所了解的内容还比较薄弱,主要是绕过天眼这类监控设备的告警。

主要方法依靠https加密传输,或者本身是混淆加密,多重加密导致天眼无法识别payload部分。

我们依照shiro与哥斯拉不报警的经验来看,分别是https以及脏数据混淆。

image-20201117105030301