鱼叉攻击和水坑攻击之概念篇

对，好久没写了。静坐窗前，熟悉的场景，今天有点夏天的感觉。

HVV刚刚结束，今年重点关注了一下，因为公司也在参与HVV，所以感觉今年的HVV离自己特别近，于是就听到各种相关讯息。今年的两周最后暴了几十个Nday漏洞，以为很多了，听到某安全人员说去年有100多，才知道已经漏洞已经少了许多。除了传统的技术，今年在社工这块真的有些百花齐放，各显神通的感觉。比如无人机窃取信息被打掉的，投递木马U盘的，做假工作牌混入HVV单位被识破的（脑补一下尴尬的场面）。如下两种攻击手法有的会多一点，我总会想到水坑里有鱼。。。

鱼叉攻击：社工的方式很多人都明白，但是真有些防不胜防，比较多的方式还是使用钓鱼邮件，那我们就看看（spear phishing）鱼叉攻击。鱼叉攻击，肯定是有看到了鱼再叉，也就是有针对性的攻击，目标明确，比如公司或团体，给这些特定团体发送包含木马的邮件，这种邮件要让受害者打开，就需要一个欺骗和迷惑的标题。这个题目和内容的构造就考验红方的想象力了。比如打补丁的通知邮件，放假通知安排，投诉举报，简历投递或者来点公司的劲爆信息引爆吃瓜群众。员工点了附件之后，就中了木马，黑客在远端就可以远程控制这个电脑了。

关于邮件木马再多说几句。

（1）我有杀毒软件我不拍。普通用户也许觉得有杀毒软件就可以了，实际可不是这样，一个木马做了处理（就是免杀，可以通过加密，修改头文件，加壳等方式进行免杀）之后，杀毒软件很可能大部分都查杀不了，所以才会一个病毒有那么多变种。（一个免杀可能就贡献了一个变种）。

（2）我不打开exe文件就安全。单纯。很早就有用office的组件来捆绑木马的情况。word和ppt都可以捆绑木马。比如一个word版本的5.1放假通知，正好赶上放假前期，如果再搞定一个公司的邮箱用来群发邮件，那么很可能是有那么几个人点开附件，也就中招木马。这种附件点了以后一样是可以正常打开文件的，只是后台悄咪咪的运行了木马相关的脚本，比如木马下载器，去下载更大的木马，然后黑客就可以远控你的电脑了。

水坑攻击：watering hole。在受害者必经之路设置一个水坑，就是陷进。常见的做法是攻击者分析攻击目标的上网活动规律，经常访问哪些网站，然后利用网站漏洞在其中植入攻击代码，用户访问该网站就中招了。这种方式隐蔽性高，成功率较高。但有一定条件，网站要有漏洞可利用，以便用于部署恶意代码。用户访问被“加工”过的网站时，攻击代码会在客户端植入恶意代码或者直接窃取用户信息，有些就是将用户跳转到其他恶意网站。这些恶意网站中，恶意软件正等待将其与后续的网络钓鱼或勒索软件攻击挂钩。