蓝队/红队钓鱼项目已发现钓鱼项目:
https://github.com/fofahub/fofahubkeyword
文档是用canarytokens做了信标的,可以用来钓蓝队/红队的出口ip
将该项目中的docx投递至沙箱分析后,发现回连:http://canarytokens.com/terms/articles/ayz4tfaqbetnwn1pz1gmqspi3/post.jsp,其中ayz4tfaqbetnwn1pz1gmqspi3,是该word文档的唯一token。云沙箱分析结果地址:https://s.threatbook.com/report/file/0ce467917dedc41a0490acddd4098576ce7a04feefd7b84ba70747149eca76da
下载文件后,在word\ footer2.xml和word_rels\footer2.xml.rels中存在C&C地址:canarytokens.com
canarytokens.com(https://canarytokens.com/)是一个dnslog平台,工作原理是在页面的图像标记中嵌入一个唯一的URL,捕获之后的返回信息。制作钓鱼word的方法如下:访问https://canarytokens.com/generate生成带有负载的word文件配置完成后会生成word文档,和查询结果的地址。https://canarytokens.com/download?fmt=msword&token=kqsmrusry ***** t3bfm&auth=931b552ae3 ****** 37f248243c6b48访问https://canarytokens.org/history?token=kqsmrusry ***** t3bfm&auth=931b552ae3 ****** 37f248243c6b48 地址可以获取运行过该文档的出口IP。
1、警惕外部链接,不访问安全性未知的链接与内容。
2、安全性不明的文档,投递至微步云沙箱(s.threatbook.com)进行检测。
3、加强企业人员安全意识教育,警惕新型攻击。
作者:微步情报社区
https://x.threatbook.com/v5/article?threatInfoID=18087
如有侵权,请联系删除
推荐阅读