2026红队钓鱼的邪修手法

最近，有一波红队开始研究邪修投毒套路了。


正统钓鱼“规规矩矩”，AI撰写正文，附件是加密压缩包，太容易被管控措施拦截，因此手法必须要有想象力。
具体手法，下面细说。


攻击入口：针对EDR尚未覆盖的供应链

首当其冲的是针对第三方驻场、外包进行钓鱼。


从去年开始，针对外包的钓鱼明显增多。红队伪装为外包公司，通过飞书向驻场运维发送通知.rar，内含一个伪装为pdf的exe文件，运行后加载内存Payload对抗杀软。




由于外包人员大多都不在公司EDR覆盖范围之内，但同时具备一定的内网权限，红队拿到合法凭据后可以快速横移。


其次是软件供应链，突破杀软、桌管后分发恶意代码。

在一次演练中，红队获取了杀软管理员身份，将恶意文件加白后，向多台终端推送恶意文件并执行。




样本运行后调用cmd命令，动态加载shellcode。




这类手法攻击效率很高，如果集权系统存在RCE漏洞或者未开启多因素认证，被红队利用的概率不算低。

需要注意的是，如果是All in One软件被突破，红队有可能会同时接管所有防护能力，危害非常大。


钓鱼手法：利用小众的文件传输通道

相比选择防护更薄弱的目标，红队更邪修的套路，是一些意料之外的文件传输通道。

一、针对在线工单系统

如下图所示，红队伪装为某制造企业的客户，在其工单系统上提交差评反馈，附件为经过篡改图标后的的CS木马。




售后人员没有任何防备就直接下载、运行了恶意样本，安全人员也没有通过修改配置，去限制工单系统的上传文件格式。


类似这样的文件传输通道还有很多，小程序、APP、网页应用……不可能面面俱到。就算不能传文件，也能私信下载链接。

二、针对个人邮箱

相比企业邮箱，163、qq这类个人邮箱没有邮件网关的保护，也被红队重点关注，诱饵多为与用户个人强相关的信息。




攻击平台：针对尚处“裸奔状态”的Mac


与外包人员PC类似，多数Mac机器也因为各种原因，EDR的安装率很低，处于裸奔状态，因此红队只需要绕过Mac内置防护技术即可。手法可参考macOS，正在大规模失陷


在某次实战演练期间，红队伪装为求职者，向目标单位HR投递压缩包，内含伪装为简历的pkg格式远控程序。




样本运行后，会释放魔改过的FRP代理、扫描、窃密等多个后门工具，通过curl命令绕过Gatekeeper校验，创建plist启动项实现持久化运行。




总结


从微步OneSEC EDR在近几次实战演练捕获到的样本来看，传统邮件钓鱼很难投递成功，红队不得不去研究一些邪修套路，不然这免杀不就白写了么。

而且微步发现，红队将新技术应用于实战的速度，最快已经可以达到天级，这背后大概率有Agent Skills定期检索最新PoC，配合AI Coding快速迭代。

不过，邪修套路千万条，核心就是一条：哪里防护技术缺失、安全意识薄弱，红队就会追着哪里猛打。

攻防演练期间，部署OneSEC达500点以上的用户，可免费享受5*8小时MEDR专家值守服务，线上专家实时协助开展防御工作。

热心网友1

这篇文章提供了非常有价值的一线攻击手法分析，尤其是针对供应链薄弱环节（外包驻场、杀软管理员身份）以及小众文件传输通道的利用思路。确实如你所说，当传统邮件钓鱼被严格管控后，红队必然会寻找那些安全管控的“盲区”——EDR未覆盖的终端、无邮件网关的个人邮箱、缺乏文件上传限制的业务系统等。 你提到的针对Mac的简历钓鱼案例也很典型，这说明红队已经意识到不同平台防护程度的不均衡。从防御角度看，这篇文章不仅揭示了攻击者的新思路，也提醒防守方需要关注集权系统（如All in One软件）的单点风险，以及非传统办公入口的防护策略。 对于蓝队来说，这些“邪修”手法其实也指明了需要加强的方向：供应链风险管理、业务系统文件上传接口的加固、以及个人邮箱的入站安全策略等。很实用的技术分享。