免责声明;内容仅做分享...
目录
红队APT
钓鱼篇
邮件钓鱼-前置-攻击&防范 7 看
-
-看发件人地址
-
收到可疑邮件首先要查看发件人地址。如果是办公邮件,发件人多数会使用单位工
-
作邮箱,如果发现对方使用的是外部邮箱账号如 gmail,qq 邮箱,或者邮箱账号拼写很
-
奇怪,那么就需要提高警惕。钓鱼邮件的发件人地址也经常会进行伪造,比如伪造成本单
-
位域名的邮箱账号或者系统管理员账号。
-
-看收件人地址
-
如果发现所接收的邮件被群发给校内大量人员,而这些人员并不是工作常用联系人或相关单位人员,那么就需要警惕,有可能是钓鱼邮件。
-
-看邮件标题
-
大量钓鱼邮件主题关键字涉及"系统管理员”、“告警通知"、“账户冻结"、“密码到期”、“邮件账号报备”、“邮件异常登录"等,收到此类关键词的邮件,需提高警惕。
-
-看正文措辞
-
对使用“亲爱的用户”、“亲爱的同事”等一些泛化问候或同事间不常用称呼的邮件应保持警惕。同时也要对任何制造紧急气氛的邮件提高警惕,如要求“账号已到期”,“邮箱容量达到上限"等。
-
-看正文内容
-
邮件中有要求使用者点击邮件中的链接完成某项操作(如激活账号,确认密码),定不要随便点击链接,必要时可以先联系相关部门确认邮件内容,避免上当。
-
-看附件内容
-
邮件中的附件信息,不要随便点击下载。诸如word、pdf、excel、PPT、rar等文件都可能植入木马或间谍程序,尤其是附件中直接带有后缀为.exe、.bat的可执行文件,千万不要点击。
-
一看发件的日期
-
公务邮件通常接收邮件的时间在工作时间内,如果收到邮件是非工作时间(如凌晨时段),很有可能是钓鱼邮件。
前置内容:
-
1、什么是 SPF:
-
发件人策略框架(Sender Policy Framework)电子邮件认证机制 --- 中文译为发送方策略框架,主要作用是防止伪造邮件地址。
-
2、如何判断 SPF:
-
dig -t txt qq.com //linux
-
nslookup -type=txt qq.com //windows
-
域名
-
-
"v=spf1 -all" (拒绝所有,表示这个域名不会发出邮件)
-
"v=spf1 +all" (接受所有)
-
"v=spf1 ip4:192.168.0.1/16 -all"(只允许 192.168.0.1/16 范围内的 IP发送邮件)
-
"v=spf1 mx -all"(允许当前域名的 mx 记录对应的 IP 地址发送邮件)
-
"v=spf1 mx mx:test.example.com -all"(允许当前域名和 test.example.com 的 mx 记录对应的 IP 地址发送邮件)
-
"v=spf1 a mx ip4:173.194.72.103 -all"(允许当前域名的 a 记录和 mx 记录和一个给定的 IP 地址发送邮件)
-
"v=spf1 include:example.com -all"(采用和 example.com 一样的 SPF 记录)
邮件钓鱼-无 SPF-直接伪造发信人
-
swaks --header-X-Mailer "" --header-Message-Id "" --header-"Content-Type"="text/html" --from "QQ 管理admin@qq.com" --ehlo shabimeiguo -header "Subject: 测试" --body 我们做了一个测试 --to owazmoffth@iubridge.com
邮件钓鱼-有 SPF-三方中转伪造发信人
-
1、软刚发信人:(修改字眼
-
swaks --body "test" --header "Subject:testT" -t xx@163.com -f system@notice.aliyun.com.cn
-
-
2、硬刚发信人:(转发突破)
-
swaks --to 收信人 -f 发信人 --data 1.eml --server smtp.163.com -p 25 -au 帐号 -ap 授权码
-
邮件钓鱼-有 SPF-自建中转伪造发信人
-
使用第三方平台或自行搭建
-
设置 SPF,中转平台突破
-
1、smtp2go(速度慢但免费发送量大)
-
2、SendCloud(速度快但免费发送量少)
-
注册--域名--自己准备个域名--解析配置好之后自定义发送
-
(邮件内容要正常写, 垃圾邮件)
-
(找封正常的邮件,模拟~~)
-
-
3、当然也可以自己搭建邮件服务器-Ewomail&Postfix(下节课)
-
1、生成 API_KEY
-
2、创建自己域名
-
3、配置域名解析
邮件钓鱼-平台框架-优化内容&收信&页面
-
优化内容效率-Gophish
Ewomail-邮件系统-搭建&使用
Ewomail&Swaks-邮件伪造发信人
Ewomail&Gophish-邮件加网页钓鱼
-
Gophish (垃圾项目)
-
(转发,流量的转发...)
-
修改goblin.yaml文件
-
--运行exe
网页钓鱼-克隆修改-二维码用户劫持
-
Setoolkit (kali自带)
-
Setoolkit
-
1
-
2
-
3
-
2
-
IP>自己服务器IP
-
clone>要克隆的站点IP
-
--在自己服务器上的80端口克隆
-
、手工另存为
-
--右键另存为(仅仅是个界面)
-
放在环境里面(phpstudy)解析 --有些资源请求不到(跨域)
-
-
Goblin
-
(转发,流量的转发...)
-
修改.yaml文件
-
--运行exe
网页钓鱼-克隆修改-Flash 升级后门上线
-
资源编辑器(Resource Hacker)5.1.8.360汉化版
-
--生成马子
-
把资源进行替换--
-
--点击下载后下载的是替换后的马子~
Office-DOC-加载宏-CS 上线
-
-文件内容模式
-
docx-doc&docm
-
xlsx-xls&xlsm
-
pptx-ppt&pptm
-
老版本:97-2003 0ffice 默认是支持宏代码运行
-
新版本:启动宏的格式,一般就是在后缀加上 M
-
-文件模版模式
-
模版-启动模版宏
Office-XLS-加载宏-CS 上线
电子书-CHM-加载 JS&PS-CS 上线
快捷方式-LNK-加载&HTA-CS 上线
免杀方案-对象-PS 代码&VBA 代码&EXE 文件
文件后缀-钓鱼伪装-RLO
压缩文件-自解压-释放执行
捆绑文件-打包加载-释放执行
Office 套件-CVE 漏洞-MSF&CS
免杀方案-对象-EXE 文件&捆绑器
流量加密篇
NC-未加密&加密后-流量抓包对比
CS-流量通讯特征修改-Profiles-Keytool
MSF-流量通讯特征修改-证书-OpenSSL
CS-防封锁处置 IP 地址-域前置-C2&CDN
CS-隐藏防朔源
-
CS-隐藏防朔源-域前置-C2&CDN
-
CS-隐藏防朔源-云函数-C2&API 触发
-
CS-隐藏防朔源-DNS 解析-C2&流量伪装
-
CS-隐藏防朔源-数据转发-C2&Iptables&中间件