0x00 前言
Cobalt Strike 不是什么工作情况都能胜任的工具,因此就需要我们根据不同的情况去做一些辅助工作。
最后这几节将学习免杀部分的东西,这一节将主要介绍邮件防御方面的相关概念。
0x01 介绍
1、SPF、DKIM、DMARC
SPF、DKIM、DMARC 都是邮件用于帮助识别垃圾信息的附加组件,那么作为一个攻击者,在发送钓鱼邮件的时候,就需要使自己的邮件能够满足这些组件的标准,或者发送到未配置这些组件的域。
在理解这些防御标准前,需要先理解如何在因特网上通过 SMTP 发送邮件。
2、SMTP
发送一封邮件的过程大概是下面这个样子,这里以QQ邮箱为例。
> telnet smtp.qq.com 25
HELO teamssix
auth login
base64编码后的邮箱名
base64编码后的授权码
MAIL FROM: <evil_teamssix@qq.com>
RCPT TO: <target_teamssix@qq.com>
DATA
邮件内容
.
QUIT
0x02 防御策略
1、SPF
SPF Sender Policy Framework
发送人策略框架,SPF 主要用来防止随意伪造发件人。其做法就是设置一个 SPF 记录,SPF 记录实际上就是 DNS 的 TXT 记录。
如果邮件服务器收到一封来自 IP 不在 SPF 记录里的邮件则会退信或者标记为垃圾邮件。
我们可以使用以下