网络钓鱼是当今最常见的威胁之一。最近，我们通过垃圾邮件收到一份PowerPoint，它会将我们导向一个使用了AES加密的钓鱼网站。

文件详情

事件细节

我们是通过垃圾邮件接收到这一恶意软件的。这个特殊的垃圾邮件告诉我们已经通过Apple购买了商品，提醒我们应当查看附件中的收据。这个所谓的“收据”是一个微软的PowerPoint文档。

对附件的PPTX文件进行分析，首先将文档的扩展名改为.zip，因为现代微软Office文档实际上是包含了许多格式化文件的zip存档。

这时候，我们偶然发现一个名为slide1.xml.resl的文件，它包含两个不同的短链接（使用了Twitter的网址缩短服务，t.co）：

除了这两个奇怪的链接外，没有其他特别可疑的元数据。

打开PowerPoint检查“收据”时，得到以下幻灯片：

收据声称我们已经从Apple商城购买了一些东西，点击底部的链接可以取消订单。这个超链接是上边发现的使用了Twitter网址缩短服务的URL地址之一。

在Web浏览器中打开这一网址，揭示了另一个通过bit.ly网址缩短服务的另一个短链接，最终被重定向到钓鱼网站。

不得不说，这个钓鱼网站制作的非常有说服力；适当的英文、字体、设计。五星好评！对页面进行检测，发现了另外一个有趣的信息：

几乎整个页面都包含在一个被AES加密的变量中。页面通过加载的Aes.Ctr.decrypt函数对本身进行解密，这个做法非常酷，因为它能够挫败许多在线签名的扫描服务。

用户的教育是网络安全中最薄弱的环节之一，针对这类攻击，用户应当更多地关注电子邮件和下载。不过，这个站点使用的AES混淆不是为了隐藏代码，而是为了避免自动信誉爬虫和网站安全系统扫描到页面上的可疑内容并通知提供商的页面存在可疑活动。通过使用AES加密技术，该站点能够在绕过这些系统的检测，得以隐藏更长一段时间。我们见过许多的Web页面混淆技术，如使用JavaScript或其他方法，但这种技术还真是第一次遇到。

不用手工地对海量数据进行解密，我们在这里提供一个更简单的方法：打开谷歌浏览器的开发工具，并通过JavaScript控制台输出“output”变量的值，就可以检索解密的数据。结果如下图所示：

您还可以选择下载整个站点来保存完整的网页信息，以便检查所有依赖项文件：

抛开AES的问题，我们继续讨论网络钓鱼攻击的话题。钓鱼主页需要我们登录AppleID账户，对AppleID的身份不做检查，然后页面会提示：该帐户已被锁定：

当我们按下解锁帐户时，会被要求需要提交一系列个人问题，这些信息无疑会被记录下来，下一页还会收集财务相关的细节：

检测

目前没有检测该PowerPoint文档的病毒签名，这在预料之中，因为它是一个相对良性的文件，只包含一个简单的URL地址。

结论

我们遇到的这个网络钓鱼攻击使用了令人信服的来自Apple的PowerPoint“收据”，起初开来是相当枯燥无味的，然而，它使用的AES加密技术让我们眼前一亮。打开这个东西，你才能体会到作者的用心良苦！