利用發件人策略框架自動進行反網路釣魚攻擊行為偵察

TL; DR：這篇文章描述了通過SPF構建一個自動發現釣魚攻擊活動的過程。

免責聲明：

這個版本的某些部分在你所在的區域可能不合法。在野外使用需要你自擔風險。在實際利用之前你需要評估你的目的。BHIS @Krelkci對你的行為不承擔任何責任。

背景：

現有的機制將強制（兼容）接收郵件伺服器檢查特定域是否存在特定的A DNS記錄。雖然這看起來很有趣，但更重要的是在現有機制中使用SPF宏。它實質上允許你將有關原始SMTP伺服器的信息從接收SMTP伺服器傳遞到信封的FROM欄位中域的域所有者確定的位置。

你有什麼新的想法？

我們來看看這個SPF記錄：

接收SMTP伺服器會執行以下操作：

·從FROM欄位=域的原始郵件伺服器接收。

·拒絕其他一切（-all）。

在AutoRecon服務上

·綁定已配置為接受AutoSPF.yourdomain.com的查詢

·SSMTP配置為發送郵件

獲取文件：

cd/opt/

git clone https://github.com/Relkci/AutoSPFRecon

apt-get install bind9

apt-get install logtail

apt-get install python-setuptools

easy_install click

easy_install shodan

設置BIND9域名 -named.conf

nano /etc/bind/named.conf

zone "autorecon.YOURDOMAIN.com" {

type master;

notify no;

file "/etc/bind/AutoRecon.yourdomain.com";

};

設置BIND9域 - 區域文件

nano /etc/bind/autospf.yourdomain.tld

$TTL 3D

@ IN SOA autorecon.ns.yourdomain.com. admin@yourdomain.com (

199802151 ; serial, todays date + todays serial #

21600 ; refresh, seconds

3600 ; retry, seconds

604800 ; expire, seconds

30 ) ; minimum, seconds

;

NS ns ; Inet Address of name server

;

localhost A 127.0.0.1

ns A IP-OF-AutoRecon

重啟綁定：

Service bind9 restart

Service bind9 status

配置綁定以將DNS的查詢記錄到/var/log/syslog：

#below command toggles query logging, be sure it is enabled

rdnc querylog

#confirm it is turned on with

tail -n 2 /var/log/syslog

設置域DNS記錄

**注意**設置SPF記錄如下所示，將告知所有郵件伺服器拒絕你的電子郵件**

請參閱我們關於SPF記錄的博客文章，為你的組織創建正確的SPF記錄。

在你的TLD名稱伺服器上：

把它們放在一起：

這將指示它用發起電子郵件的伺服器的IP替換 % 伺服器將查找autorecon.yourdomain.com的NS記錄，並發現它是autorecon.yourdomain.com服務。它將查詢 .autorecon.yourdomain.com，並且不會收到有效的DNS響應。然而，autorecon.yourdomain.com上的綁定伺服器將在/var/log/syslog中記錄查詢。

AutoReconSPF.sh腳本讀取這些查詢的syslog，運行一個shodan查詢，然後將結果傳遞到相關的電子郵件地址。

可以將AutoReconSPF.sh腳本配置為使用crontabs每隔幾分鐘運行一次。

還有什麼可以做的：

此PoC腳本用一種易於分區和易於編輯的方式設置框架。你可以添加自己的腳本操作，例如NMAP掃描，IR事件，甚至可以將其鏈接回Fail2Ban或IPTable黑名單。

Expand. NMap, Fail2Ban, IPTables, Incident Response. Automate Lights Out.

有人試圖通過偽造成來自你域名的電子郵件來欺騙你的員工。由於你的SPF記錄無法授權原始郵件伺服器，因此你的AutoSPFRecon系統會收到警報並觸發電子郵件，Fail2Ban阻止，並且網路釣魚伺服器立即對你的基礎架構的可見性不起作用。

運行AutoReconSPF.sh

生成的電子郵件已發送：

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！