作者：微步情报社区

https://x.threatbook.com/v5/article?threatInfoID=18087

蓝队/红队钓鱼项目已发现钓鱼项目：

https://github.com/fofahub/fofahubkeyword

文档是用canarytokens做了信标的，可以用来钓蓝队/红队的出口ip

对GitHub中使用word文档进行钓鱼项目的分析

微步云沙箱分析

将该项目中的docx投递至沙箱分析后，发现回连：http://canarytokens.com/terms/articles/ayz4tfaqbetnwn1pz1gmqspi3/post.jsp，其中ayz4tfaqbetnwn1pz1gmqspi3，是该word文档的唯一token。云沙箱分析结果地址：https://s.threatbook.com/report/file/0ce467917dedc41a0490acddd4098576ce7a04feefd7b84ba70747149eca76da

样本分析

下载文件后，在word\ footer2.xml和word_rels\footer2.xml.rels中存在C&C地址：canarytokens.com

复现

canarytokens.com（https://canarytokens.com/）是一个dnslog平台，工作原理是在页面的图像标记中嵌入一个唯一的URL，捕获之后的返回信息。制作钓鱼word的方法如下：访问https://canarytokens.com/generate生成带有负载的word文件配置完成后会生成word文档，和查询结果的地址。https://canarytokens.com/download?fmt=msword&token=kqsmrusry ***** t3bfm&auth=931b552ae3 ****** 37f248243c6b48访问https://canarytokens.org/history?token=kqsmrusry ***** t3bfm&auth=931b552ae3 ****** 37f248243c6b48 地址可以获取运行过该文档的出口IP。

后续建议

1、警惕外部链接，不访问安全性未知的链接与内容。

2、安全性不明的文档，投递至微步云沙箱（s.threatbook.com）进行检测。

3、加强企业人员安全意识教育，警惕新型攻击。

加个好友

欢迎 在看丨留言丨分享至朋友圈 三连