如何针对高智商目标进行钓鱼攻击

David Fletcher //

最近我们在一次渗透测试项目中遇到了大量Mac设备。作为测试环节，我们研究了针对这些设备的恶意软件投递方法。下文将详述我们探索并实际使用的技术方案。

注意：这并非全新技术，而是对Carlos Perez所述方法的改进（参见：darkoperator.com博客）

由于新版XCode已不再支持Package Maker组件，我们转而使用OSX系统自带的pkgbuild工具创建无有效载荷安装包。关键突破在于：我们可以创建名为postinstall的shell脚本（无需实际安装内容），生成会在安装向导最后自动执行该脚本的pkg文件。

技术实现流程

1. 生成后门脚本
   使用EmPyre框架的"bash"模块生成base64编码的自删除式stager脚本，输出内容如下：

   1 2	#!/bin/bash # [EmPyre生成的base64编码载荷]

2. 构建安装包结构

   • 创建名为postinstall的可执行脚本文件
   • 将其放入任意命名的包文件夹（如Malware_Package/scripts/）

3. 增强欺骗性
   在脚本尾部添加osascript调用实现弹窗提示：

   1	osascript -e 'display dialog "该软件需要联网验证许可证"'

4. 生成最终安装包
   使用关键参数构建恶意pkg文件：

   1	pkgbuild --nopayload --scripts scripts/ Malware.pkg

攻击效果演示

1. 受害者启动安装向导
2. 选择安装位置
3. 输入root密码授权安装（后门将以root权限执行）
4. 显示伪造的联网提示弹窗
5. 最终显示虚假的"安装成功"提示

与此同时，攻击者的C2服务器已收到回连会话：

1

[+] 新会话建立：user@macbook-pro (OSX 10.12)

防御建议

这种技术可以制作出与正版软件安装包几乎无法区分的恶意包。企业应培训具有软件安装权限的用户：

• 严格验证安装包签名
• 仅从可信来源获取软件
• 警惕异常安装行为

思考：当邮件过滤系统主要针对Windows威胁时，您的环境能否拦截这种macOS恶意pkg文件？