一次有趣的钓鱼测试
2020-4-22 19:39:17 Author: mp.weixin.qq.com(查看原文) 阅读量:13 收藏

本系列故事纯属虚构,如有雷同纯属巧合

这一天小B正在晒太阳,突然接到了老板的电话,要求对M公司进行一次内部全员邮件钓⻥测试,试图找出那些安全意识薄弱的员工。根据老板的要求,小B开始了这次的有趣的钓⻥之旅。
钓鱼前的准备
在执行这次钓⻥之前小B需要先完成一系列的准备工作,包括:邮件主题选择搭建一个用于收集员工信息的站点批量发送邮件的工具构造钓⻥邮件等。
钓鱼邮件主题选择
网上关于这方面的资料很多大家有兴趣也可以多查查,小B在这里也简单列一些:(PS.我们在伪造邮件主题时也需要注意邮件不能过于逼真,否则会出现命中率极高的情况)
以攻击目的进行分类
针对攻击目标的不同,我们在选择主题时也需要更有针对性一些,这样能提高命中率。
  • 需要控制目标PC或在目标PC植入后⻔或木⻢等信息;
  • 只需要收集目标的个人信息;

以邮件主题进行分类

  • 企业内部通知
    • 人事变动通知:冒充行政部⻔发送人事变动的相关邮件,利用邮件中的附件进行钓⻥;
    • 薪资/奖金通知:同上
    • 安全警告:冒充IT类部⻔发送内部安全警告的相关邮件,利用邮件中的附件或链接进行钓⻥;
  • 企业内部活动
    • 优惠活动:以企业名义给员工发送一些优惠活动,让用户报名参与进行⻥;
    • 聚餐活动:以聚餐报名为主题进行⻥;
  • 员工信息变更:冒充IT部⻔发送员工个人信息(密码、手机号)已过期或失效需要更新进行钓⻥;
  • 社会实事关注:比如最近的新型冠状病毒
当然钓⻥的方案还是很多的,还是需要结合实际的情况来定邮件主题
钓鱼站点准备

由于没有开发资源,并且小B的目的是获取内部员工的信息,所以选择了实事相关的调查问卷来作为本地邮件主题。由于没有开发,小B找了一个开源的调查问卷系统:LimeSurvey(https://www.limesurvey.org/)部署方案使用Apache+MariaDB+PHP即可,我这里简单记录了一下:

# 部署环境是:Centos7.4 最小化安装# LimeSurvey需要PHP5.5 以上的版本,但是Centos7默认的是5.4版本,所以需要更改PHP的源 yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm yum install http://rpms.remirepo.net/enterprise/remi-release-7.rpmyum install yum-utils -yyum-config-manager --enable remi-php56
# 安装依赖环境yum install httpd.x86_64 mariadb-server.x86_64 mariadb.x86_64 mariadb-libs.x86_64 php.x86_64 php-fpm.x86_64 php-mysql.x86_64 php-mbstring.x86_64 php-ldap.x86_64 php- xmlrpc.x86_64 php-xml.x86_64 php-gd.x86_64 php-imap.x86_64 -y
# 最后将下载的压缩包放置到网站目录,并开启防火墙与关闭SELinux即可。 

关于LimeSurvey的使用这里不过多描述,简单一句话就是:创建调查文件--创建新题组--创建问题。

此时我们就准备好了我们的钓⻥邮件,接下来就是选择一个好用的工具了。
钓鱼工具的选择
相对来说钓⻥工具很多比较经典的有:

  • Gophishhttps://getgophish.com/

    (PS.B也写过相关的文章:https://bloodzer0.github.io/ossa/infrastructure-security/network-security/office-network-security/gophish/)

  • Swakshttps://www.jetmore.org/john/code/swaks/

    (PS.B也写过:https://mp.weixin.qq.com/s/2xhTg6HhgnFMA7jexgg3AA本文中关于SPF绕过的部分写的有误,后期小B会更新一下)

  • mail_fishinghttps://github.com/SecurityPaper/mail_fishing

这里不作过多的描述了,为了方便后期使用脚本自定义发送,所以小B选择的是Swaks。选择好工具以后我们就需要来构造我们的邮件了。

构造钓鱼邮件
构造邮件,其实主要是看你参考的邮件主题是如何发送的,根据其模拟一个即可,比如小B模拟的钓⻥邮件如下(当然了因为脱敏小B并没有截完整):

做好这一切的准备后,我们就可以开始发送邮件了。
使用Swaks发送钓鱼邮件
导出邮件为eml或其他格式的内容
B使用的网易邮箱大师与OutlookmacOS客户端。如果使用网易邮箱大师那么在导出邮件的格式为eml;如果是Outlook那么导出的就是源文件,保存为TXT即可。
但是需要对文件进行修改,我们先来看一下网易邮箱大师导出的eml文件修改内容:

对于Outlook的邮件修改内容也大致相同,建议在修改以后先使用--data加载测试是否能发送成功。
发送钓鱼邮件
如果使用126作为发件服务器,要求--from后的参数与--au的参数一致,如果使用smtp2go平台则没有这个要求,并且显示代发信息的时候会有一些不同。同时需要注意的是修改的eml被我保存在test.txt文件中,并且需要保证文件中To参数的值与--to的值一致,否则会出现收到的邮件没有收件人:
 ./swaks --to [email protected] --from [email protected] --ehlo 126.com --h-From "OA <[email protected]>" --data test.txt --server smtp.126.com --au [email protected] --ap sender_user_pass

 ./swaks --to [email protected] --from [email protected] --ehlo 126.com --h-From "OA <[email protected]>" --data test.txt --server mail.smtp2go.com --au smtp2go_user --ap smtp2go_user_pass
批量发送邮件
其实我们使用bash脚本就可以批量发送了,但是由于我们这里是加载的邮件内容,并且每次只需的时候需要更改内容中To这一行的收件人,所以小B使用最笨的方法如下:
#!/usr/bin/env python3 # -*- coding: utf-8 -*-
# @Time: 2020/4/20 10:25 上午 # @Author: bloodzer0# @File : send_email.py
import os
email_tmp = []# 发件人文件for email in open('user_email.txt','r').readlines():    email_tmp.append(email.strip())# 发送邮件的内容email_old = open('test.txt','r+') content = email_old.readlines() email_old.close()
for send_email in email_tmp:    write_file = open('test.txt', 'w')    write_file.writelines("To: <%s>" % send_email + '\n' + "".join(content[1:]))     write_file.close()    command = './swaks --to %s --from [email protected] --ehlo 126.com --h-From "OA<[email protected]>" --data test.txt --server mail.smtp2go.com -p 2525 --au smtp2go_user --ap smtp2go_user_pass' % send_email    print(command)    # os.popen(command)
统计命中率

在本次测试中,我们的调查问卷系统可以辅助,或者自己编写⻚面将录入的数据写入数据库。

钓鱼邮件防护

识别钓⻥邮件:

  1. 看发件人地址(有的时候看到的是表象,发件人是公司内部地址也不一定真实);

  2. 看邮件标题;

  3. 看正文措辞;

  4. 看正文目的;

防范钓⻥邮件:

  1. 安装杀毒软件;

  2. 个人信息要保密,填写前请人为核对是否属于内部要求;

  3. 箱账号需要启用双因素校验,即使密码丢了也不怕;

  4. 重要的邮件请即时从邮件服务器删除,保存到本地;

  5. 不要轻信发件人地址中的"显示名"、不要轻易点开陌生邮件中的链接与附件、不要放松对"熟人"件的警惕、不要使用公共场所的网络执行敏感操作、不要将敏感信息发布到互联网;

中招后的操作:

  1. 及时报告给IT团队;

  2. 及时修改密码;

  3. 隔离网络;

  4. 进行一次全盘杀毒;

refer

钓⻥邮件模板:https://github.com/SimplySecurity/SimplyTemplate

钓⻥邮件模板:https://github.com/criggs626/PhishingTemplates
钓⻥邮件工具:https://github.com/xHak9x/SocialPhish
如何伪造一封合格的钓⻥邮件:https://blog.csdn.net/yiifaa/article/details/78471241
记一次真实的邮件钓⻥演练:https://xz.aliyun.com/t/5412
记一次企业安全意识宣传活动-钓⻥邮件:https://www.freebuf.com/column/154460.html
钓⻥邮件攻击防范指南:https://cloud.tencent.com/developer/news/234444

谷歌是个好东⻄

文章来源: https://mp.weixin.qq.com/s?__biz=MzU2NzY5MDY3MQ==&mid=2247483972&idx=1&sn=b550837ee842c41eec445450877f07d9&chksm=fc981684cbef9f92c5702afafd26a077179d672f049adf9d529a21b06ba633c4f92b8c428ee8&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh