打造微信”盾”，轻松终结微信钓鱼

微信钓鱼是目前最流行的攻击方式之一，也是近年来攻击成功率最高的攻击方式之一。它有逐渐取代电子邮件网络钓鱼的趋势，导致许多公司谈论“微”。原因是大多数公司没有实时文件登陆沙箱检测。因此，微信钓鱼可以轻易绕过前端防御，渗透防护系统，直达用户终端，导致内网终端被攻陷。经过对目前市场上各种企业防护软件的调查，尚未找到可靠实用的微信钓鱼拦截方法。之前的文章《微信社会工程攻击防护解决方案》通用性不强，推广困难。针对微信钓鱼所造成的多种危害，我们分析了微信钓鱼的攻击手段。通过对攻击手段的总结，我们最终总结出一种有效的杜绝微信钓鱼攻击的方法，构建了有效的防护体系，轻松应对微信钓鱼攻击。

## 从攻击角度看微信钓鱼

**微信钓鱼方法**

根据微信钓鱼常见的成功手段，大致可分为三类：

1、添加用户微信-发送链接给用户-诱导用户点击链接-诱导用户下载木马程序-用户执行木马程序-触发加载器-上线控制端

2、添加用户微信——向用户发送木马——用户接受微信发送的木马程序——用户执行木马程序——触发加载器——上线到控制端

3、添加用户微信——向用户发送恶意压缩包——用户接受微信发送的压缩包——用户双击执行压缩包中的木马程序——触发加载器——上线到控制端

**微信钓鱼技术**

微信钓鱼攻击者通常会利用精心设计的诱导词来欺骗、诱导用户执行恶意操作。这些短语旨在引发受害者的好奇心、紧迫感、惊奇或其他情绪，导致他们点击恶意链接、下载附件或泄露敏感信息。常见场景以八卦、简历、求职、营销等词语作为文件名的主要来源，比如今年出现的“单位职称人员统计表.exe”、“**heng作弊事实.zip”。

## 从防御角度看微信钓鱼

**思考一：如何检测微信钓鱼攻击？ **

为了防范这些微信钓鱼策略，用户需要保持警惕，不要相信未经验证的信息、点击可疑链接或提供个人或敏感信息。同时，保持自身的安全意识，定期更新微信应用程序和操作系统，避免随意下载附件或点击不明来源的链接。

**思考二：如何拦截微信钓鱼攻击？ **

从防御的角度来看，所有的攻击手段最终都指向一个点，即：诱导用户点击并执行恶意程序。

1、URL跳转攻击利用各种社会工程技术，引诱用户跳转链接、下载恶意程序。本质上，它们仍然是可执行文件攻击。

2. 双扩展名攻击，在文件名上使用两个文件扩展名来欺骗用户。本质上，它仍然是一种可执行文件攻击。

3、压缩包攻击，压缩包中包含或不包含密码，并附加可执行文件来执行攻击。本质上，可执行文件仍然需要被执行。

## 终止微信钓鱼的方法汇总

通过从防御的角度解读和分析技术，对抗木马程序的最终实施，微信钓鱼攻击可以轻松终止。

操作系统附带的软件限制策略是基于Windows操作系统的一项安全功能，旨在限制哪些程序可以在计算机上运行。通过配置此策略，管理员可以指定微信文件存储路径并限制文件扩展名，可以轻松防止未经授权的软件、恶意软件、病毒等在系统上运行。以下是构建步骤：

- 第一步获取微信文件存储路径，为禁令执行做准备。为了不干扰程序的正常运行，我们通过软件限制策略设置屏蔽了微信文件存储路径。

- 第二步，生成注册表锁键值，禁止微信文件存储目录下的可执行文件执行，并指定禁止运行的扩展名。例如，常见的可执行文件扩展名有：BAT、CMD、COM、CPL、EXE、HTA、LNK、MSI、PIF、SCR、CHM等。

- 第三步，禁止压缩包中的可执行文件双击执行，举一例，因为所有压缩程序在面对文件解压时都会暂时解压到固定路径。通常情况下，在%LOCALAPPDATA%\\Temp\\下找到压缩程序的临时解压路径，并对该路径实施限制策略，如360压缩、7Zip、快速压缩、WinRAR等。

- 以360压缩程序为例，在Paths路径中添加对应的key值，如下图：

- 以7zip压缩程序为例，在Paths路径中添加对应的key值，如下图：

- 启用此方法后，您可以手动杀死Explorer进程并重新启动，或者重新启动系统才能生效。

- 最后，启用软件限制策略后，“微信盾”会在系统的应用日志中生成事件ID为866的事件日志。通过EDR、桌面管理等管理软件实时接收事件ID，实现全线防控，加快溯源排查响应时间。

**禁止执行微信钓鱼传输的可执行文件具体结果截图：**

**微信钓鱼传输可执行文件监控事件报警截图：**

** 陷阱1：**

在激活这个微信盾防御时，最需要注意的一点就是如何获取微信的文件存储路径，从而为禁止执行做好相应的准备。经过研究发现，微信的文件存储路径默认保存在当前用户的文档目录下，即%USERPROFILE%\\Documents目录下。一旦用户修改了文件存储路径，该路径就会显示在HKEY_CURRENT _USER\\Software\\Tencent\\WeChat 子键下的“FileSavePath”中，通过读取该键值中的数据，可以获取大多数用户的文件存储路径。但在大量的测试环境中，发现这个键值往往不存在。仔细研究后发现，读取%APPDATA%\\Tencent\\WeChat\\All Users\\config\\3ebffe94.ini 的内容可以从逻辑上识别出文件存储路径。 （如果这里还有其他更好的方法，欢迎在评论区提供）

** 陷阱2：**

微软从Windows 11 22H2开始禁止使用SAFER，导致上述拦截方法在Windows 11 22H2操作系统中无效。解决方法是修改或删除[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Srp\\Gp]键值。因此，在Windows 11 22H2中，每次启动后删除或修改键值需要额外考虑。当然，你也可以修改微信盾代码，将其作为常驻项启动，并联动日志监控功能，发送警报或通知。

** 陷阱3：**

目前，微信盾GUI版支持微信和企业微信平台。但在进行批量推送时，可以通过轮询用户配置和HKCU来查询PC微信的文件存储路径。但由于无法找到企业微信的准确存储路径，所以只能在DOS版本中去掉该代码，以避免无效查询。

## 用法：

GUI版本没什么好说的。它简单粗暴。只需启用它即可。个人可以使用此版本进行保护。

DOS版本用于批量部署。使用启动或停止开关执行参数化部署。

综上所述，通过本次“微信盾”的部署，没有再发生微信钓鱼事件，在本次H中取得了满意的效果，现将编译好的程序和源码发布出来，供大家使用。

源代码用Delphi编写，传送门地址为：【微信盾】(https://github.com/wolf0x/WechatShield) 转载自FREEBUF社区：https://www.freebuf.com/articles/endpoint/379339.html

作者：老狼饿了