随着外围打点变得越来越困难，社工钓鱼的比例变的越来越高。微步对近一个月的大量钓鱼攻击和数千种木马样本做了数据分析，呈现出以下特点: 

钓鱼主题：通知、简历依旧领先，但针对性有所增强

通知、简历、招聘、薪酬等相关字眼，历来都是钓鱼攻击最常用的鱼饵。与此同时，为达到更强的欺骗性，高手们会针对目标的业务属性进行信息搜集，并投递针对性更强的主题，如***项目招投标需求文档.rar、针对安全人员的病毒样本.exe、关于行业标准《集装箱密封胶（征求意见稿）》的意见.rar、冻品类食材采购项目异议和投诉反馈.zip、针对市场营销人员的***参会人员名单.zip等。

附件格式：压缩文件与可执行文件平分秋色，lnk异军突起

在文件格式方面，压缩文件（包括zip、rar、7z等）在数量上基本和可执行文件（exe、com等）相当。此外，lnk 快捷方式文件明显增多，其“人畜无害”的外表，更易导致目标中招。

不过需要注意的是，针对exe等可执行文件，红队会通过伪装文件图标、修改文件名的方式，达到诱使目标用户误判文件格式的目的。如将可执行文件的图标伪装为文档文件图标、在文件扩展名前增加大量空格或者doc、pdf等文档文件扩展名。

听起来简单甚至有些傻，但往往也是最有效的。

钓鱼入口：邮件钓鱼仍占主流，IM等多样化钓鱼方式涌现 

这主要因为钓鱼邮件虽制作快捷、群发便捷，但基于数年防守经验，易通过邮件网关、人工审查，在被用户接收前拦截；相较之下，尽管IM钓鱼需要事先建立好友关系，但信赖建立之后极易中招。与此同时，IM软件品种繁多、入口多变，且采用加密流量点对点传输，无法在流量检测环节还原样本，防范难度相对更大。

据微步一线工程师观察发现，本次攻防演练期间，在邮件钓鱼总量大幅领先的情况下，某用户侧终端EDR检出的IM钓鱼样本却略高于邮件钓鱼的样本数量。从实际落地效果来看，在邮件安全体系相对完备的情况下，IM钓鱼能起到意想不到的效果。

另外值得关注的是，OneSEC近期还多次检测到攻击者利用客服系统，向企业客服人员投递恶意样本的钓鱼攻击行为。

木马家族：CS一骑绝尘

在微步捕获的所有木马样本中，Cobalt Strike依旧是红队最喜爱的工具，占比达90%以上。另外，还有约4%的样本为特种马，属特定红队自有工具，其特征更为隐蔽。

反连C2：云函数锐减，域前置占比大幅上升

受云函数注册限制的影响，今年云函数的使用几乎销声匿迹。与此同时，作为另一种主要的隐蔽反连的手段，域前置的使用大幅上涨，占比达到了半数以上。（详情可参考《还是熟悉的木马，但主角是域前置》）

代码语言：Rust语言成为新宠

漏洞利用：并不多见，但极其危险

截至目前，微步监测到的钓鱼攻击中，漏洞利用事件并不多见，且以Nday为主，可被沙箱或者终端安全软件检出。

不过这并不意味着可以放松警惕。去年同期，有攻击者利用WPS Office远程代码执行漏洞（XVE-2023-17624，当时处于0day状态）发起钓鱼攻击，用户只需点击攻击者构造的WPS文档即可触发攻击代码，隐蔽性非常强。

以下是微步OneSEC捕获的一个IM钓鱼经典案例。

4. 运行后，程序会释放一个正常的word文档迷惑用户，同时在特定目录下加载恶意dll，签名处于无效状态；

↓↓↓

点此电话咨询

---

原文始发于微信公众号（微步在线）：钓客服、打漏洞……钓鱼攻击或进入最后的疯狂