一、前言
在攻防演练中大家常用的方法就是钓鱼(懂的都懂)。随着大型攻防演练常态化的实施,我们认为演练+安全意识培训相结合的方式是比较理想的。 下文就是钓鱼演练中遇到的问题与思考,结合大师傅们的开源软件整理一篇”利用开源软件进行甲方钓鱼演练“。演练最终目的是安全意识摸底,公司或者部门级别的安全意识培训,方便在钓鱼演练后有连贯性的学习,加深印象。
注意:本文仅供学习参考研究,切勿利用所学知识做违法乱纪之事,否则后果自负!
二、规划演练
钓鱼的方式选择
-
凭证类钓鱼方式选择的初衷
- 通过钓鱼获取账号凭证。我们要哪些登录权限,钓到的账号密码外网是否可用?模拟外部攻击场景,如果克隆页面外部不能访问就容易被业务挑战。确保获取内部登录页面信息的合理性,证明通过钓鱼得到的账号密码可以被进一步利用,证明危害性。 甲方优势是知道资产中的账号关联哪些敏感重要的系统和信息,账号是否被二次认证导致无法使用等各种内部信息。这里也有部分好处推动相关的账号平台增加多因子验证。
- 甲方的优势就是知道自己公司的习惯和使用细节,体现在,公司用的邮箱系统,公司员工的个人电脑配置是什么样的操作系统如研发是mac,其他业务线是windows,具体到系统版本,杀软等特性。
- 检测业务同事是否有意识将钓鱼邮件事件通过正确的渠道反馈给安全部门。
-
木马钓鱼方式与凭证类钓鱼区别
- 木马钓鱼的初衷是获取个人电脑信息和建立据点横向拓展,此时就将的演练的初衷变成与办公网的杀毒软件、流量审计、防守方的发现处置能力对抗,非特殊情况不采取该方式演练。
- 木马钓鱼更接近于红蓝对抗场景,对用户的侵入性较大,不适宜大面积演练使用,控制不好会容易导致业务的反感。
- 本次演练选择获取账号凭证,批量发送邮件方式钓鱼。
三、实施钓鱼阶段 步骤
话术与剧本
- 第一原则禁止损害国家个人利益,内容不可以是政治、疫情、舆情、绯闻相关的钓鱼内容。
- 角色扮演者 ,谁发起的一项活动,这个角色有一定的合理性。举例HR、行政、企业IT,几乎会和每一名员工有工作交集。
- 事件合理性,发起这个邮件的互动一定遵循看似合理性,习惯性。合理性就是我因为看到邮件,所以我要点击这个链接参活动。这里就要充分利用甲方的优势做信息收集加以转换。如常见的公司通知是什么样的?对比外部攻击就要更关注邮件泄露或者是发送来往邮件观察邮件习惯了。
- 驱动受害者的动作,利诱或者威逼来使其来执行你想要让其做的事情,如点击一个页面,跳转到登录页,输入账号密码。
选择钓鱼页面的原则
- 钓什么账号最有价值,我们要关心的点是得到该账号我们能做什么?登录邮箱?合同系统等,这一步骤是能够说明危害点也是真实攻防过程中的一个攻击链路。 最好的选择是具有外部sso 内部erp混用的这种登录页面作为钓鱼克隆页面首选。
- 确定克隆页面以后要考虑,该页面在钓鱼话术的合理性。 如果钓鱼邮件账密,那么就剧本就是点击修改邮箱账号密码,所以克隆的页面应该是修改邮箱密码登录页面。 如果调用erp账号密码,那么就去把剧本到erp通用账号登录页面。 所以我们在选型登录页面的时候要考虑话术配合的合理性。
最低0.47元/天 解锁文章
2323
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
