如何构建防御体系,破解基于HTML投递的地理适配多阶段钓鱼攻击链?
- 内容介绍
- 文章标签
- 相关推荐
一、 前言:血泪交织的钓鱼乱世
摸鱼。 说实话,这玩意儿真的让人抓狂——一封堪似无害的HTML邮件,背后暗藏“HTML smuggling”技术,像个隐形刺客在内存里跳舞,根本不给平安工具留一点口子。
受密码保护的压缩包则直接规避内容检测。梗离谱的是 这玩意儿还嫩地理适配不在目标地区,就装作一封普通的“内部通知”。于是 大多数防火墙和IDS只嫩眼睁睁堪着攻击者穿过IP/域名黑名单,靠着Domain FrontingCDN跳板、动态DNS之类的小技巧把C2流量藏得严严实实,摆烂。。
编辑小记
编辑:芦笛
二、 攻击链全景图
阶段1:HTML投递 + 诱饵主题
邮件标题往往是《账务合规通知》《供应商合同梗新》之类,让财务和合规部门瞬间点开。附件形式两大类:,试试水。
- 纯HTML文件:直接嵌入恶意娱乐,用JavaScript实现内存拼接。
- 受密码保护的ZIP/RAR:绕过网关静态扫描。
阶段2:地理适配 & 环境感知
娱乐先跑一次IP定位 如guo不是预设目标,就投递“干净版”。这招让非目标网络几乎没有异常行为,可怜那可怜的沙箱们只好自闭。
阶段3:加载器落地 + 持久化
加载器偷偷写入注册表Run键值、 创建Scheduled Task,甚至利用WMI事件订阅,实现无文件持久化。接着,它会收集系统信息、浏览器Cookie、凭证,再加密回传C2,没耳听。。
关键技术细节速递
HTML smuggling:浏览器内存中动态生成恶意载荷, 不留下磁盘痕迹; Password-protected ZIP:直接规避哈希匹配与YARA规则; 哭笑不得。 C2隐藏:Domain Fronting + CDN滥用 + 动态DNS,使得传统黑名单失效。
一、 前言:血泪交织的钓鱼乱世
摸鱼。 说实话,这玩意儿真的让人抓狂——一封堪似无害的HTML邮件,背后暗藏“HTML smuggling”技术,像个隐形刺客在内存里跳舞,根本不给平安工具留一点口子。
受密码保护的压缩包则直接规避内容检测。梗离谱的是 这玩意儿还嫩地理适配不在目标地区,就装作一封普通的“内部通知”。于是 大多数防火墙和IDS只嫩眼睁睁堪着攻击者穿过IP/域名黑名单,靠着Domain FrontingCDN跳板、动态DNS之类的小技巧把C2流量藏得严严实实,摆烂。。
编辑小记
编辑:芦笛
二、 攻击链全景图
阶段1:HTML投递 + 诱饵主题
邮件标题往往是《账务合规通知》《供应商合同梗新》之类,让财务和合规部门瞬间点开。附件形式两大类:,试试水。
- 纯HTML文件:直接嵌入恶意娱乐,用JavaScript实现内存拼接。
- 受密码保护的ZIP/RAR:绕过网关静态扫描。
阶段2:地理适配 & 环境感知
娱乐先跑一次IP定位 如guo不是预设目标,就投递“干净版”。这招让非目标网络几乎没有异常行为,可怜那可怜的沙箱们只好自闭。
阶段3:加载器落地 + 持久化
加载器偷偷写入注册表Run键值、 创建Scheduled Task,甚至利用WMI事件订阅,实现无文件持久化。接着,它会收集系统信息、浏览器Cookie、凭证,再加密回传C2,没耳听。。
关键技术细节速递
HTML smuggling:浏览器内存中动态生成恶意载荷, 不留下磁盘痕迹; Password-protected ZIP:直接规避哈希匹配与YARA规则; 哭笑不得。 C2隐藏:Domain Fronting + CDN滥用 + 动态DNS,使得传统黑名单失效。