网络钓鱼攻击文件的几种姿势

网络钓鱼是最常见的社会工程学攻击方式之一。所谓社会工程学，是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。在生活工作中，最常使用的邮件、各种文档也成为黑客常用的攻击载体。近些年来，网络钓鱼攻击趋势也一直呈增长趋势，特别是在APT攻击、勒索软件攻击等事件中，扮演了重要的角色。

在PDF、Office文档中内嵌一个跳转链接是很早期的钓鱼方式，通过文字信息的引导，让受害者点开页面，如果缺乏戒心，就可能会获取到受害者的账号、密码、银Ka、身份Zheng等信息。

Office、Adobe等应用软件目前都对打开外部链接都会弹框进行安全提醒，这种方式也比较容易引起人类警觉。

宏是Office自带的一种高级脚本特性，通过VBA代码，可以在Office中去完成某项特定的任务，而不必再重复相同的动作，目的是让用户文档中的一些任务自动化。由于早些年宏病毒泛滥，现在Office的宏功能已经默认是禁用，但依然无法阻挡攻击者使用宏。那么如何引诱受害者开启宏功能就是关键了，常用的套路:

文档是被保护状态，需要启用宏才能查看；

添加一张模糊的图片，提示需要启用宏才能查看高清图片；

提示要查看文档，按给出的一系列步骤操作；

贴一张某杀毒软件的Logo图片，暗示文档被安全软件保护。

恶意宏代码在免杀和增加分析难度的手段上也多种多样，除了把VBA代码混淆变形外，利用Excel的特性隐藏代码也很常见。

上图中996-1006行被隐藏。取消隐藏后，由于字体颜色与背景色相同，所以也难看到，修改这部分背景色查看如下。

利用OLEDump工具，可以看到这段宏代码是读取了这部分内容进行恶意文件的下载。

CHM是Windows帮助文件（如电子书）使用的扩展名，此文件可以被植入可执行代码。成功的利用需要欺骗用户打开恶意的CHM文件，该文件可用于执行恶意代码。其缺点就是打开时会出现弹黑框、卡顿，容易被察觉。

上图是一例恶意CHM文档，打开或点击左侧标题时就会执行powershell代码。通过HH.exe进行反汇编可以看到其执行代码。

CHM文件的利用虽然历史悠久，但通过免杀手段依然活跃，著名的Cobalt Strike就支持CHM钓鱼文件的生成。

利用Office、Adobe、IE等应用软件的漏洞，精心制作成诱饵文档，是APT攻击中的常客。现实中可能不会及时更新打补丁，这种攻击方式的成功率是比较高的。这类文档除了挑选漏洞外，对文件命名也煞费苦心，通常会起最近的热点新闻，或跟自身相关的名字，让人看了不得不点开看看。