關於網路釣魚的深入討論

網路釣魚相信大家都不會太陌生。近年來，隨著人們網路安全意識的提升，網路釣魚的手法也變得越來越高明。攻擊者的社工經驗愈加豐富，釣魚技術也愈加的先進和新穎。作為企業，通過技術手段似乎在一定程度上能保護員工免受大型釣魚攻擊的威脅，但這並不是解決問題的根本，更關鍵的是員工安全意識的加強和培養。下面，我們的討論也將圍繞該話題展開。

網路釣魚聽起來很容易，但大規模的釣魚活動策劃並不簡單。以下是成功運行內部釣魚郵件的一些提示和技巧。

網路釣魚需要什麼？

* 一個合理迫切的借口！

借口是攻擊者用來誘導目標員工，以偽裝的合法請求或任務欺騙員工接收釣魚郵件的故事或詭計。

* 有效的payload

執行惡意活動的重要組成部分。

* 一個令人信服的釣魚網站

釣魚郵件可能會要求目標點擊鏈接，該鏈接會跳轉到攻擊者製作的假網站上，通常這些網站都是一些可信站點的副本，主要用來竊取目標的用戶名和密碼。

* 成功發送釣魚郵件

如果電子郵件被發送到了目標的「垃圾郵件」或「垃圾」文件夾中，那麼郵件將很可能不會被打開甚至是被忽略。因此想要成功執行釣魚攻擊，將郵件準確的發送到目標收件箱是非常重要的。

我如何確保電子郵件到達目標的收件箱？

想像你正在對內部執行一場精心策劃的釣魚活動。你成功欺騙了目標用戶，然後你發送了釣魚郵件坐等shellz和creds進入，但你等了很長時間卻一無所獲……那麼到底哪出了問題呢？這當中可能有許多原因，可能你的釣魚郵件根本就沒有發送至目標用戶的收件箱中。

圖1 - 將釣魚郵件標記為垃圾郵件

首先我們先來確認下，我們發送釣魚郵件的伺服器IP/域是否被列入了黑名單。Mxtoolbox提供了一種快速檢查方法。如果釣魚郵件伺服器IP未被列入黑名單，則該電子郵件很可能會被標記為垃圾郵件，原因很簡單，因為域不受信任。DKIM可以幫助我們（攻擊者）更受信任。我們可以嘗試通過使用OpenDKIM製作DKIM密鑰來驗證自己是發件人。

圖2 - 『opendkim-genkey』是生成密鑰的命令。 『-s』指定密鑰選擇器。 『-d』指定域

OpenDKIM是一個開源的DKIM發送者認證系統的C語言實現，現在由IETF（RFC6376）進行了標準化。

圖3 - DKIM私鑰和公鑰

OpenDKIM成功安裝後，會在』/etc/opendkim.conf』中創建一個配置文件。編輯該配置文件，指定上述命令中使用的selector（選擇器）以及密鑰生成中使用的域和私鑰的位置。

圖4 - DKIM配置文件

使用圖6中的語法將公鑰添加到TXT DNS記錄中。

圖5 - DKIM公鑰

圖6 - DKIM TXT記錄。名稱應該採用

 『_domainkey.』

格式

應該為釣魚網站域提供的其他DNS記錄包括A，MX，SPF和DMARC記錄。（DMARC與DKIM記錄協同工作）。DMARC至少需要指定版本和策略，但只要你有這些信息，它就可以和DKIM一起驗證你是否為發件人。

圖7 - DMARC TXT DNS記錄。名稱應採用

『_dmarc.』

格式

完成以上操作後，我們再次從我們的郵件伺服器發送釣魚郵件，就會被成功發送到目標收件箱中。

圖8 - 從同一郵件伺服器發送的同一釣魚郵件已發送到收件箱中

釣魚郵件頭現在顯示的SPF，DKIM和DMARC記錄均被標記為了「PASS」。

圖9 - 被標記為PASS的SPF，DKIM和DMARC記錄

Payload該閃亮登場了

為了防止目標對出站流量使用代理的情況，一個SSL證書將有助於確保目標系統和攻擊者系統間的通信。在攻擊者控制的域使用SSL證書。使用Let』s Encrypt創建SSL證書。然後通過結合使用』privkey.pem』文件創建的』cert.pem』文件，創建一個名為』full.pem』的文件。 『full.pem』將與handler一起使用。

圖10 - 使用我們加密的』certbot』工具創建SSL Cert的命令

圖11 - 合併』cert.pem』和』privkey.pem』的命令

在以下演示中我使用nps_payload來創建一個「reverse_https」，具體創建步驟如下圖所示：

圖12 - 使用』nps_payload』創建有效載荷

圖13 - 為Payload創建後續文件

可以使用下面的命令設置handler，並使用有效負載創建的』unicorn.rc』文件。

圖14 - 處理程序設置

完美的借口

從開頭我們就提到，一個完美的借口是釣魚成功與否的關鍵因素。因此在實施釣魚攻擊之前我們需要做充足的信息收集，例如查看與目標組織/員工相關的新聞，關注他們的媒體賬戶（如Facebook和Eventbrite），以及企業的招聘人事等信息。

釣魚網站

一個令人信服的釣魚網站，可以是目標習慣使用網站的複製品，其中可以包含組織的徽標以及相關的登錄表單。如下圖所示。

圖15 - 網路釣魚站點示例

尋找目標

在LinkedIn.com上尋找將組織列為他們「present（當前）」僱主的目標。

在facebook.com上尋找將組織列為他們「present（當前）」僱主的目標。

使用諸如 Hunter.io等網站尋找目標。

等待

圖16 - 在目標系統打開的shell會話

圖17 - 活動會話

結語

內部的網路釣魚測試，對提升企業以及員工的安全意識有很大的幫助。由於是內部測試，因此資源的利用率和可信度都相對較高，這對企業和員工來說都是一場很好的安全檢驗。當然，讓外部承包商進行測試也有其好處。這樣，企業也更能從一個攻擊者的視角看到自身安全的不足之處。此外，外部測試也更加的公正和獨立，不易受到一些問題的限制和影響。總之，無論是內部還是第三方網路釣魚評估，最重要的是培養員工的用戶意識，而不是單單的將責任歸咎於他們。只有這樣，企業的安全建設才能更加的完善和穩固。

*參考來源：trustedsec，FB小編 secist 編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！