一文简述：钓鱼攻击知多少

钓鱼攻击是一种典型的欺诈式攻击手段，攻击者通过伪装成可以信任的角色，利用电子邮件或其他通信渠道向被攻击者发送植入了木马的文档或恶意链接，并诱骗被攻击者点击执行，从而实现对被攻击者计算机的远程控制或恶意程序感染。根据钓鱼的具体实现目标的不同，钓鱼攻击分为外网钓鱼和内网钓鱼。

一、外网钓鱼

外网钓鱼的主要目的是实现对目标网络的打点突破，即向前期搜集到的目标内部人员邮箱、平台客服、微信公众号发送植入了木马的文件，诱骗目标人员点击钓鱼文件，使木马在对方主机上运行回连，实现对目标主机的远程控制，并以此为支点进一步渗透目标内网。外网钓鱼攻击的目标人员和诱骗素材投递途径往往有限。外网钓鱼攻击包括以下几个步骤。

• 钓鱼目标选定

外网钓鱼目标的选择要遵循一个原则：选择网络安全意识薄弱的目标人员。要尽量选择客服人员、人事部门人员、财务人员或商务人员这类人员进行钓鱼，因为这类人员通常网络安全知识基础薄弱，对来自外网的安全威胁缺乏足够的认识，对网络钓鱼的安全防范意识弱，所以对其进行钓鱼攻击很容易成功。

• 钓鱼工具准备

准备工作主要围绕诱骗文档格式选择和木马免杀展开：诱骗文档格式决定了木马触发的方式，木马免杀则决定了是否成功运行并回连控制。常见的诱骗文档格式和形式有可执行文件、反弹脚本、Office 宏、Office 文档捆绑、CHM 文档、LNK 文件、HTA 文件、文件后缀 RTLO 和自解压运行压缩包等，这些文档格式和形式可以根据钓鱼素材灵活搭配使用。

• 钓鱼素材准备

选定钓鱼目标后，就要有针对性地准备钓鱼素材和沟通话术。钓鱼素材的选择取决于钓鱼目标人员的性质，比如：对客服人员可以选择服务投诉或问题咨询；对人事部门人员可以选择人员岗位应聘或最新人事变动动态；对财务人员可以选择目标业务财报或行业投资资讯。

钓鱼沟通话术准备主要围绕素材开展，比如：对客服人员可以用比较强硬的口气，要求问题马上得到解决，用客户至上的要求给予客服人员压力；对人事部门人员则以友好沟通的口气，通过沟通需求建立信任，伺机发送诱骗文档；对财务人员假装进行咨询和评估，用比较专业的口气进行分析与研讨。

• 实施钓鱼攻击

攻击时机最好选择被攻击目标可能心理懈怠而毫无防备之时，比如：沟通过程比较顺畅，逐渐取得信任的时候；工作日人员容易懈怠的时候，如周一至周四临近下班时间、周五下午等。对被攻击目标心理的把握则主要采取换位思考的方式，在沟通交流中提前判断对方可能采取的下一步动作，及时变换沟通技巧和方法，从而全面掌握主动，达到“愿者上钩”的最佳钓鱼效果。

二、内网钓鱼

内网钓鱼的主要目的是实现在内网中的定向攻击，主要针对目标网络运维管理人员、重要业务人员或部门领导，因为这些人往往掌握目标网络或业务比较核心的资源信息，突破这些重要人员的主机并获取重要的目标网络信息，会给渗透拓展带来很大的便利。内网钓鱼攻击包括以下几个步骤。

• 钓鱼目标选定

内网钓鱼主要是为了对内网重点网络或业务系统进行定点渗透拓展，若是为了实现对内网重要网络节点进行拓展控制，则主要选择网络运维管理人员作为钓鱼目标；若是为了对主要核心业务应用进行拓展控制，则主要选择目标核心业务人员作为钓鱼目标。

• 钓鱼工具准备

综合考虑内网钓鱼途径的选择和钓鱼目标的内网安全防护、杀毒软件类型、个人办公环境等因素，以确保钓鱼成功。

• 钓鱼素材准备

可根据钓鱼途径灵活选择内网钓鱼素材。通过内网 OA、邮件服务器钓鱼则选择钓鱼目标人员比较感兴趣的素材，针对网络运维管理人员，选择与网络安全动态、网络安全建设有关的素材；针对重要业务人员和领导，则选择与目标业务内容或业务系统应用相关的话题。另外，所有人员比较关心的薪资、福利问题也是内网不错的钓鱼素材。

• 实施钓鱼攻击

内网钓鱼利用的就是信任关系，实施钓鱼时过多的铺垫反而容易引起对方怀疑，直接抛出诱饵成功率会更高。实施内网业务文件共享、内网办公软件更新或内网 Web 应用水坑钓鱼，则要利用通过目标信息搜集所掌握的情况，充分把握目标内网人员的办公习惯直接进行文件替换或木马植入。

三、钓鱼应急

在钓鱼攻击过程中，经常会碰到被质疑或被发现的情况，钓鱼攻击前就需要做好应急预案，以防引起被攻击目标的警觉或被反向追踪溯源。采取的常见措施有以下几种。

• 即使诱骗成功也要适当掩饰

利用诱骗文档钓鱼时，诱骗文档常常不包含诱骗素材的真正内容，需要在已经触发木马钓鱼成功的情况下，再次发送一份相同素材主题的正常文档进行掩饰，以免引起对方怀疑。

• 反溯源应对方法

针对被对方发现并有可能被对方分析溯源的情况，需要对钓鱼文档或木马做好反溯源处理，具体方法如下：

• 彻底清除文档或木马编译生成时自动搜集和集成到文档内部的操作系统、文件路径或计算机用户名信息；

• 对木马可执行文件进行加壳或代码混淆处理，增加逆向分析难度；

• 编译木马时对其反弹回连所需的域名、IP 地址和端口等关键字段信息进行加密处理，防止泄露，防止此类敏感信息被分析到；

• 木马回连域名、IP 地址和端口使用备份机制，每个木马中集成 2 个以上回连选择，在 1 个域名 IP 地址被封的情况下，备用域名 IP 地址可能会发挥作用。