1.将exe后缀命名为c后缀
在文件落盘时,终端杀软的实时防护功能会对落盘文件进行扫描。但杀软通常会略过某些类型的文件(不扫描),以降低对终端性能的占用。这之中,C语言源代码文件就是不会被传统杀软扫描的文件类型之一。银狐通过将样本执行文件伪装成C语言文件,绕过了杀软扫描。
2.利用云存储来部署HTML页面
在历史活动中,攻击者总是会将钓鱼页面部署在个人服务器上,然后通过传播恶意链接将受害者引导到这些页面。这种方式容易被网络安全系统检测到。然而,最新的变化是“银狐”团伙直接将钓鱼HTML页面存放在云存储桶中,使得受害者更难以分辨恶意链接,绕过了传统的网络检测手段,减少了被检测到的风险。此外,他们还能够更快速地部署和更换恶意页面,增加了灵活性的同时还进一步降低攻击成本。
3.利用QQ邮箱中转站|金山文档存储文件
将恶意文件储存于类似“QQ邮箱中转站”、“金山文档”而不是私人文件服务器。
这个缺失从来没关注过
4.云盘托管恶意文件
利用zoho企业网盘、奶牛快传、123云盘直链下发文件。其特点是隐蔽性和变化快,即使某些URL地址被封锁,攻击者仍能轻松更换存储位置,继续攻击。而不必担心服务器维护或被追踪。攻击者的快速部署和传播恶意文件的能力增加了攻击的复杂性。
5.利用chm来完成攻击
黑客利用开源工具“DotNetToJScript”将C#恶意加载器转成相应js脚本嵌入chm文件中执行。
双击压缩包中包含的CHM文件后,利用反序列化加载执行.NET程序,还会检测计算机上是否安装了.NET Framework,并根据检测结果设置相关的环境变量,从而执行不同的代码段。
https://mp.weixin.qq.com/s/_BGufWpQcgMUtrYXy5c-Bw