最近，有一波红队开始研究邪修投毒套路了。

正统钓鱼“规规矩矩”，AI撰写正文，附件是加密压缩包，太容易被管控措施拦截，因此手法必须要有想象力。

具体手法，下面细说。

攻击入口：针对EDR尚未覆盖的供应链

首当其冲的是针对第三方驻场、外包进行钓鱼。

从去年开始，针对外包的钓鱼明显增多。红队伪装为外包公司，通过飞书向驻场运维发送通知.rar，内含一个伪装为pdf的exe文件，运行后加载内存Payload对抗杀软。

由于外包人员大多都不在公司EDR覆盖范围之内，但同时具备一定的内网权限，红队拿到合法凭据后可以快速横移。

其次是软件供应链，突破杀软、桌管后分发恶意代码。

在一次演练中，红队获取了杀软管理员身份，将恶意文件加白后，向多台终端推送恶意文件并执行。

样本运行后调用cmd命令，动态加载shellcode。

这类手法攻击效率很高，如果集权系统存在RCE漏洞或者未开启多因素认证，被红队利用的概率不算低。

需要注意的是，如果是All in One软件被突破，红队有可能会同时接管所有防护能力，危害非常大。

钓鱼手法：利用小众的文件传输通道

相比选择防护更薄弱的目标，红队更邪修的套路，是一些意料之外的文件传输通道。

一、针对在线工单系统

如下图所示，红队伪装为某制造企业的客户，在其工单系统上提交差评反馈，附件为经过篡改图标后的的CS木马。

售后人员没有任何防备就直接下载、运行了恶意样本，安全人员也没有通过修改配置，去限制工单系统的上传文件格式。

类似这样的文件传输通道还有很多，小程序、APP、网页应用……不可能面面俱到。就算不能传文件，也能私信下载链接。

二、针对个人邮箱

相比企业邮箱，163、qq这类个人邮箱没有邮件网关的保护，也被红队重点关注，诱饵多为与用户个人强相关的信息。

攻击平台：针对尚处“裸奔状态”的Mac

与外包人员PC类似，多数Mac机器也因为各种原因，EDR的安装率很低，处于裸奔状态，因此红队只需要绕过Mac内置防护技术即可。手法可参考macOS，正在大规模失陷

在某次实战演练期间，红队伪装为求职者，向目标单位HR投递压缩包，内含伪装为简历的pkg格式远控程序。

样本运行后，会释放魔改过的FRP代理、扫描、窃密等多个后门工具，通过curl命令绕过Gatekeeper校验，创建plist启动项实现持久化运行。

总结

从微步OneSEC EDR在近几次实战演练捕获到的样本来看，传统邮件钓鱼很难投递成功，红队不得不去研究一些邪修套路，不然这免杀不就白写了么。

而且微步发现，红队将新技术应用于实战的速度，最快已经可以达到天级，这背后大概率有Agent Skills定期检索最新PoC，配合AI Coding快速迭代。

不过，邪修套路千万条，核心就是一条：哪里防护技术缺失、安全意识薄弱，红队就会追着哪里猛打。

攻防演练期间，部署OneSEC达500点以上的用户，可免费享受5*8小时MEDR专家值守服务，线上专家实时协助开展防御工作。

联系微步

扫码即刻沟通试用OneSEC

↓↓↓

·END·

[内核课程]《Windows内核攻防实战》！从零到实战，融合AI与Windows内核攻防全技术栈，打造具备自动化能力的内核开发高手。