蓝队/红队钓鱼项目(附分析报告)
2022-11-23 00:2:8 Author: 橘猫学安全(查看原文) 阅读量:32 收藏

蓝队/红队钓鱼项目已发现钓鱼项目:


https://github.com/fofahub/fofahubkeyword

文档是用canarytokens做了信标的,可以用来钓蓝队/红队的出口ip

将该项目中的docx投递至沙箱分析后,发现回连:http://canarytokens.com/terms/articles/ayz4tfaqbetnwn1pz1gmqspi3/post.jsp,其中ayz4tfaqbetnwn1pz1gmqspi3,是该word文档的唯一token。云沙箱分析结果地址:https://s.threatbook.com/report/file/0ce467917dedc41a0490acddd4098576ce7a04feefd7b84ba70747149eca76da

下载文件后,在word\ footer2.xml和word_rels\footer2.xml.rels中存在C&C地址:canarytokens.com

canarytokens.com(https://canarytokens.com/)是一个dnslog平台,工作原理是在页面的图像标记中嵌入一个唯一的URL,捕获之后的返回信息。制作钓鱼word的方法如下:访问https://canarytokens.com/generate生成带有负载的word文件配置完成后会生成word文档,和查询结果的地址。https://canarytokens.com/download?fmt=msword&token=kqsmrusry ***** t3bfm&auth=931b552ae3 ****** 37f248243c6b48访问https://canarytokens.org/history?token=kqsmrusry ***** t3bfm&auth=931b552ae3 ****** 37f248243c6b48 地址可以获取运行过该文档的出口IP。

1、警惕外部链接,不访问安全性未知的链接与内容。

2、安全性不明的文档,投递至微步云沙箱(s.threatbook.com)进行检测。

3、加强企业人员安全意识教育,警惕新型攻击。

作者:微步情报社区https://x.threatbook.com/v5/article?threatInfoID=18087

如有侵权,请联系删除

推荐阅读

实战|记一次奇妙的文件上传getshell
「 超详细 | 分享 」手把手教你如何进行内网渗透
神兵利器 | siusiu-渗透工具管理套件
一款功能全面的XSS扫描器
实战 | 一次利用哥斯拉马绕过宝塔waf
BurpCrypto: 万能网站密码爆破测试工具
快速筛选真实IP并整理为C段 -- 棱眼
自动探测端口顺便爆破工具t14m4t
渗透工具|无状态子域名爆破工具(1秒扫160万个子域)
查看更多精彩内容,还请关注橘猫学安全:
每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247500776&idx=1&sn=cddc0dc02184782de25150d2520bacce&chksm=c04d44d6f73acdc09f82b437916eeac55260beb9babcfc27b814fa244686dfd97d55d111ff41#rd
如有侵权请联系:admin#unsafe.sh