社會工程學(xué)在網(wǎng)絡(luò)安全中的崛起：快捷方式竟成黑客“釣魚”工具！

日常工作中，電腦桌面和開始菜單中的快捷方式對于大家來說并不陌生，點擊之后就可進入相應(yīng)的應(yīng)用程序。由于快捷方式自身不是可執(zhí)行文件，多數(shù)情況只起到了跳轉(zhuǎn)作用，同時在大多數(shù)用戶慣性思維的加持下，很容易讓人放松安全警惕。即使在點擊后，殺毒軟件提示發(fā)現(xiàn)病毒，但仍然會有用戶手動信任，甚至臨時關(guān)閉殺毒軟件。

近日，360安全大腦就檢測到一批特殊的快捷方式，其利用社會工程學(xué)進行別有用心的偽裝后，大肆實施釣魚攻擊。該類釣魚病毒不僅具備與快捷方式極其相似的高隱蔽性;同時因為其多使用腳本語言開發(fā)，所以也擁有著開發(fā)周期短和易混淆的特點;而且由于其一般不需要考慮環(huán)境和版本差異，使得無數(shù)用戶頻繁中招。

那么，如何才能不被這些披著快捷方式外衣的釣魚病毒欺騙呢?在此，360安全大腦就為大家拆穿一些常見花招。

招式一：表里不一

試想，如果看到一份“外貌”正常的文檔圖標(biāo)，你會對它進行防備么?而事實上，此類表里不一的偽裝卻可能是快捷方式病毒最常用的伎倆。將惡意程序和快捷方式放在同一目錄下，并使用docx后綴和文檔圖標(biāo)進行偽裝，很容易讓用戶覺得這就是一個普通文檔。

然而，如果你信以為真，就意味著將不幸中招了。經(jīng)分析，這個偽裝成文檔的快捷方式實際執(zhí)行的命令，是通過cmd執(zhí)行目錄下一個修改了后綴的可執(zhí)行文件svchost.rtf，而此文件正是遠(yuǎn)控木馬。

同樣，變幻多端的快捷方式病毒，也可能偽裝成常用的文件夾圖標(biāo)。如下圖，同一個zip壓縮包里包含了一個修改為文件夾圖標(biāo)的快捷方式，和一個通過后綴名改為jpg偽裝成圖片的隱藏可執(zhí)行文件。

如果稍不慎雙擊打開了偽裝的文件夾快捷方式，則會通過執(zhí)行如下命令，最終運行名稱偽裝為JPG圖片的木馬程序。

由此可見，該類手法就是利用了用戶通過圖標(biāo)含義理解文件類型的思維習(xí)慣，來實施攻擊。所以，當(dāng)我們接收到陌生可疑文件或文件夾時，不妨注意以下幾點：

1)右鍵查看快捷方式“屬性”--“目標(biāo)”一欄里是否有可疑字符串，確保與期待的目標(biāo)文件相一致;

2)觀察快捷方式同目錄下是否存在其他可疑文件或者隱藏文件，若存在需確認(rèn)是否為危險文件。

招式二：綿里藏針

除了要當(dāng)心壓縮包里同時包含快捷方式和隱藏文件的情況之外，如果壓縮包里只有一個快捷方式也不要掉以輕心，因為惡意腳本或者資源可以全部內(nèi)嵌到快捷方式中。如下圖，該病毒將名稱偽裝成圖片Credit Card Back.jpg，圖標(biāo)卻偽裝成了docx文檔。

通過查看快捷方式的目標(biāo)屬性就可發(fā)現(xiàn)，這明顯不是普通的快捷方式，而這段代碼的主要功能是最終釋放具有執(zhí)行遠(yuǎn)程命令、盜取隱私等木馬行為的JS文件。

面對這種綿里藏針的釣魚快捷方式病毒，用戶只要保持警惕性，實際很容易識破，因為惡意代碼都嵌入在快捷方式中，所以最終的快捷方式文件通常比較大，如果發(fā)現(xiàn)文件大小異常或者查看屬性發(fā)現(xiàn)有可疑字符串，那就一定要當(dāng)心了。

招式三：藏形匿影

基于腳本語言的特點，一些快捷方式病毒會利用各種方式，將核心代碼“隱藏起來”，而這些為了躲避殺毒軟件檢測的“潛伏”手段則是花樣百出。

有的不法分子會通過超長命令行，來隱藏數(shù)據(jù)。

該快捷方式指向一段CMD命令，使用環(huán)境變量進行解密后的命令如下圖所示：

但是，命令開啟mshta.exe后，沒有任何參數(shù)，也不會運行任何腳本，那其它數(shù)據(jù)到底藏到了哪里呢?

原來，在Windows系統(tǒng)中屬性的“目標(biāo)”只能查看260個字符，而命令行參數(shù)的最大長度為4096個字符，惡意文件正是利用這個特性隱藏了位于260個字符以后的數(shù)據(jù)。通過對完整代碼解密后便會發(fā)現(xiàn)，該代碼主要是在通過打開誘餌文檔蒙蔽用戶后，加載惡意代碼。

有的不法分子則會對嵌入的腳本進行高強度混淆，不免讓人頭暈?zāi)垦！?/p>

然而，從經(jīng)過多次去除混淆得到最終的腳本代碼中可以看出，該代碼最終將通過CMD執(zhí)行惡意PowerShell腳本。

還有的不法分子會將快捷方式病毒同攻擊載荷打包到一個壓縮文件，壓縮文件末尾添加有附加數(shù)據(jù)。

如上圖，壓縮包里面有兩個文件，一個是正常PDF文檔，另一個為偽裝成圖片的快捷方式。如果打開快捷方式，則會通過執(zhí)行如下命令來釋放惡意腳本，最后還會打開正常PDF文件迷惑用戶。

而面對以上這些藏形匿影的釣魚快捷方式病毒，大家盡可以注意以下幾點，以實現(xiàn)見招拆招：

1)單一快捷方式可以檢查文件大小，正?？旖莘绞街挥袔譑大小，體積過大請勿執(zhí)行;

2)壓縮包中的快捷方式可以先解壓，然后查看快捷方式是否通過CMD執(zhí)行同目錄的其他文件。

招式四：聲東擊西

看過以上招式后，如果你覺得僅通過判斷目標(biāo)文件，就能識別快捷方式病毒的話，那你就大錯特錯了。部分攻擊者也會通過Link Resolution機制來重定位目標(biāo)，這種情況下，乍一看指向的目標(biāo)文件不存在，實際上是在聲東擊西迷惑用戶。

在快捷方式的文件結(jié)構(gòu)中有一個RELATIVE_PATH字段，如果存在這樣的值，打開快捷方式就會嘗試修復(fù)快捷方式的指向。如下快捷方式的RELATIVE_PATH值為.\DeviceConfigManager.vbs，執(zhí)行時會被修復(fù)為當(dāng)前目錄下的VBS腳本文件，而這，恰恰就為病毒的釋放提供了執(zhí)行路徑。

所以，在面對該類聲東擊西的快捷方式病毒之時，大家切記要對其中暗藏的殺機加以防范，在點擊開啟前：

1)可以首先右鍵查看快捷方式“屬性”，并查看其“目標(biāo)”指向的文件是否存在;

2)若不存在此文件，還需要判斷快捷方式同目錄下的文件與其指向的文件是否具有相同文件名，若存在此種情況，需要高度警惕，否則極易中招。

縱觀以上案例后不難發(fā)現(xiàn)，快捷方式病毒既可以通過內(nèi)嵌腳本執(zhí)行惡意功能，也可以通過調(diào)用指向的文件來進行攻擊，形式靈活，手段多變。最重要的是，不法分子主要利用了用戶的認(rèn)知習(xí)慣，使得該類攻擊方式極具威脅。

而事實上，著名黑客凱文·米特尼克在其著作《欺騙的藝術(shù)》就曾提到，人為因素才是安全的軟肋，就此也提出了社會工程學(xué)的概念。不同于找到存在于程序或者服務(wù)器之內(nèi)的漏洞以攻克目標(biāo)的方式，社會工程學(xué)則是利用人性弱點這一安全漏洞，通過欺騙受害者的手段來實施對計算機系統(tǒng)的網(wǎng)絡(luò)攻擊。甚至在有些情況下，往往一些技術(shù)并不復(fù)雜的攻擊方式，反而因此而屢試不爽。

所以，在明白“人是網(wǎng)絡(luò)安全中的薄弱環(huán)節(jié)”這一道理后，廣大用戶一定要時刻謹(jǐn)記提高網(wǎng)絡(luò)安全防范意識，以避免為不法分子提供可乘之機。除此之外，大家也可以及時前往weishi.#下載安裝360安全衛(wèi)士，在360安全大腦的極智賦能下，360安全衛(wèi)士可全面攔截各類釣魚木馬攻擊，心動的小伙伴不妨親自一試。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）