钓鱼: 多态恶意附件分发

多态恶意附件分发（Polymorphic Malicious Attachment Distribution）是通过持续变异文件特征实现钓鱼攻击隐匿的技术形态。攻击者利用文档模板动态注入、熵值调节、元数据混淆等技术，在保持恶意功能不变的前提下，使每个分发的钓鱼附件在文件哈希、宏代码结构、OLE对象布局等维度呈现差异化特征。该技术特别针对企业邮件网关的静态特征检测机制，通过生成海量异构但功能等效的恶意文档，实现检测逃逸与攻击规模化并行的目标。

该技术的核心匿迹思路在于构建"功能不变、特征可变"的恶意文档生产流水线。攻击者开发具备自动变异能力的文档生成框架，集成多维度混淆引擎：在文件结构层，通过插入随机空白段落、调整XML组件顺序、添加噪声图片等方式改变文件哈希；在宏代码层，采用代码分割、变量名随机化、垃圾指令插入等技术破坏特征提取；在行为触发层，设计基于环境检测的延迟执行逻辑，规避沙箱分析。分发过程中采用A/B测试机制，根据目标组织的检测响应动态调整混淆策略，例如当特定文档模板被拦截后，自动切换至新的混淆算法组合。此外，攻击者将恶意文档托管在受控云存储平台，通过一次性下载链接实现附件与恶意载荷的分离式投递，进一步增加防御方取证分析的难度。