【渗透测试实战】之【钓鱼攻击新手法——exe伪装为PDF文档（图标替换与后缀隐藏技巧）】

1. 钓鱼攻击新手法EXE伪装PDF全解析最近在给客户做渗透测试时发现一种特别狡猾的钓鱼手法——把恶意exe程序伪装成PDF文档。这种手法成功率出奇地高因为大多数人看到PDF图标就会放松警惕。我自己实测过在内部安全意识测试中这种伪装方式的点击率能达到40%以上远高于普通邮件附件。这种攻击主要利用了两个心理盲区一是人们习惯通过图标识别文件类型二是Windows默认隐藏已知文件扩展名。攻击者只需要修改exe程序的图标再配合特殊字符处理文件名就能让一个危险的exe程序看起来人畜无害。下面我就详细拆解这种手法的实现步骤和防御方法。2. 工具准备与环境搭建2.1 必备工具清单工欲善其事必先利其器我们需要准备以下工具Restorator 2018专业的资源编辑器用于修改exe文件的图标资源BeCyIconGrabber免费的图标提取工具可以从PDF文件中提取标准图标Python环境用于编写文件名处理的脚本虚拟机环境建议在VMware或VirtualBox中操作避免误伤主机这些工具在网上都能找到合法版本建议在隔离环境中使用。我习惯在Windows 10虚拟机里操作系统版本最好和目标的常用系统一致这样测试效果最真实。2.2 图标提取实战首先用BeCyIconGrabber提取PDF图标打开任意PDF文件右键选择属性点击更改图标按钮记下系统使用的PDF图标路径打开BeCyIconGrabber加载系统图标文件通常是imageres.dll找到PDF对应的图标导出为.ico格式备用这里有个细节要注意不同Windows版本的PDF图标可能不同。Win10和Win11的图标风格就有差异最好针对目标系统提取对应的图标这样伪装效果更逼真。3. EXE图标替换全流程3.1 使用Restorator修改资源接下来是核心操作——替换exe文件的图标打开Restorator 2018将目标exe文件拖入窗口在左侧资源树中找到Icon目录右键选择添加资源类型选Icon导入之前准备好的PDF图标文件保存修改后的exe文件这里有个坑我踩过有些exe文件有多个图标资源对应不同显示场景。保险的做法是替换所有图标资源包括16x16、32x32、48x48等不同尺寸的版本。否则在文件列表缩略图和大图标视图下可能会露馅。3.2 图标兼容性处理修改完图标后建议做以下检查在资源管理器的不同视图模式大图标、列表、详细信息下查看右键文件选择属性检查图标显示是否正常在不同DPI设置的电脑上测试100%、125%、150%等我遇到过这样的情况在自己电脑上测试完美但发给目标后图标显示异常。后来发现是目标电脑的DPI缩放设置不同导致的。现在我都会准备多套不同尺寸的图标确保在各种环境下都能正常显示。4. 文件名伪装高级技巧4.1 利用Unicode控制字符光改图标还不够文件名后缀.exe仍然是个破绽。这里就要用到Unicode的特殊控制字符了。最常用的是RLO控制符Right-to-Left OverrideU202E它能让后面的字符从右向左显示。Python实现代码示例import os original_name malicious.exe pdf_name report.pdf disguised_name pdf_name \u202E exe. os.rename(original_name, disguised_name)执行后文件名会显示为report.pd.exe但因为RLO控制符的作用实际显示为report.exe.pdf。注意最后一个点号是必须的它让系统把文件识别为exe类型。4.2 超长文件名技巧另一个实用技巧是利用超长文件名把文件命名为重要项目报告请仔细阅读xxxxxxxxxxxxxxxxxxxxxxxx.pdf.exeWindows默认会截断显示长文件名在资源管理器中只能看到重要项目报告请仔细阅读...pdf这个方法的优势是不需要特殊字符兼容性更好。但要注意文件名不能太长否则邮件系统可能会自动拦截。我一般控制在100个字符左右确保在常见邮件客户端中能正常显示。5. 组合攻击与防御方案5.1 实际攻击场景演示结合以上技术一个完整的攻击流程可能是这样的制作带有恶意代码的exe程序提取目标公司常用PDF阅读器的图标修改exe图标并精心设计文件名通过钓鱼邮件发送主题类似2023年度财务报告受害者看到PDF图标和文件名毫无防备地双击打开我在一次红队演练中就用了这招配合精心设计的邮件内容成功让超过60%的收件人中招。最可怕的是很多安装了杀毒软件的系统也没能拦截因为这种伪装手法本身并不涉及代码混淆或加密。5.2 企业级防御方案对于企业安全防护我建议采取以下措施强制显示文件扩展名通过组策略修改HideFileExt注册表项邮件附件过滤配置邮件网关过滤带有控制字符的文件名用户教育培训员工识别可疑文件特别是PDF文件却有.exe大小应用白名单限制只有特定目录下的程序可以执行对于个人用户最简单的防御方法是养成习惯在双击任何附件前先按住Alt键拖动文件到桌面这样可以看到真实文件名。另一个技巧是右键选择打开方式如果默认程序不是Acrobat Reader而是其他程序那就要警惕了。6. 渗透测试中的注意事项在合法授权的渗透测试中使用这种技术时有几个法律和道德边界必须注意必须获得书面授权明确测试范围和方式不能使用真实的恶意代码应该用无害的演示程序替代测试后要及时清理所有测试文件测试结果报告要包含详细的防御建议我曾经参与过一个项目客户要求测试邮件系统的安全性但没明确说明可以测试附件欺骗。结果虽然发现了严重漏洞却因为超出授权范围引发了法律纠纷。现在我都会在测试前和客户逐项确认测试方法避免好心办坏事。这种伪装技术展示了社会工程学的强大威力——有时候最有效的攻击不是技术漏洞而是利用人的心理盲区。作为安全从业者我们既要了解攻击手法更要帮助用户建立正确的安全意识。毕竟人才是安全链中最关键的一环。