钓鱼全流程梳理 | 攻防演练

admin 2024年5月19日01:40:41评论6 views字数 3309阅读11分1秒阅读模式

攻防演练中,传统的web打点在没有0day的条件下变得非常困难,钓鱼成为一种相对容易的打点方式。本篇文章将介绍个人总结的钓鱼全流程,包括发送阶段注意事项、钓鱼话术、上线后注意事项。

由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!

钓鱼全流程梳理 | 攻防演练

1

前言

本文不讨论免杀技术,均在当前已有一个能过国内主流杀软的exe,想让目标上线至我们C2服务器的情境下展开。

个人偏向于通过邮件来实施钓鱼,文章将重点讲解钓鱼邮件的全流程。当然电话、wx钓鱼的方式成功率更高,也需要更强的社牛属性。

2

发送阶段注意事项

1、邮箱收集

网页泄露:官网联系邮箱、招标文件、招聘信息、投诉邮箱等等。

查询工具:https://hunter.io/searchhttp://www.skymem.info/srch

2、少用群发

群发的邮件内容定制化程度低、可信度低,一旦被发现认定为钓鱼邮件,防守方会对木马文件进行分析,进而导致辛辛苦苦做好的免杀马被上传到云平台,最终失去免杀效果。

我个人偏向于通过常规163邮箱来发送邮件,gophis等钓鱼工具用的不是很熟练。

当然,如果想要尝试群发,需要开启选项:“分别发送”,不然收件人会知道你同时发了很多邮件给别人,很容易被识别出来这是一封钓鱼邮件。

钓鱼全流程梳理 | 攻防演练

3、修改邮箱前缀和昵称

邮箱的昵称是可以多次更改的,每次发送邮件前修改昵称,使昵称更符合情景。收件人先看到的是你的昵称,而不是邮箱号。

钓鱼全流程梳理 | 攻防演练

4、使用代理

收件人可以看到发件人发件时的IP,请选择一个合适区域的代理,不要远到国外,也不要暴露自己真实的IP。

5、绕过邮件网关

遇到邮件网关,可以尝试压缩包加密、或将恶意链接修改为二维码图片。

钓鱼全流程梳理 | 攻防演练

3

钓鱼话术

在不同场景要有不同的钓鱼话术,接下来将从HR、企业、xx局三个目标来定制不同话术。

HR->简历

针对HR通常将木马伪造成简历,我通常将exe的名称加长,可以达到让受害者看不到后缀名的效果,同时使用resourcehacker修改exe图标为word、wps之类的图标,再将exe压缩后发送,实现以假乱真的效果

木马名称:“xxxxx大学——xxx简历——xxxx求职咨询.exe”

受害者看到的木马:word图标、名称为“xxxx大学——xxx简历——...”

钓鱼全流程梳理 | 攻防演练

话术如下

“HR小姐姐你好,我是即将毕业的应届生吴静静,目前就读于西南农业大学。本人家乡在xxx,希望毕业后在家乡发展,因此对贵公司非常向往,希望xxx公司能给我一个面试机会或是求职建议,我的简历放在附件,希望您能给我一个机会!”

钓鱼全流程梳理 | 攻防演练

在担任防守方的时候我见过一个类似exe,实现了双击exe后自动释放正常word简历的功能,可以很大程度的缓解目标的怀疑程度(我做的马子都是双击后能上线但没有任何反应),不过实现这个功能应该需要一些代码功底,这里只是提供一种思路,有能力的师傅可以尝试实现一下。

同时,我在实战多次遇到hr在压缩包里直接点开exe,会导致CS中不能执行等操作。

具体表现为:目标上线CS后,进入beacon输入命令pwd查看当前位置,在AppDataLocalTemp目录下,就证明目标直接在压缩包中打开。

钓鱼全流程梳理 | 攻防演练

解决方案:cd到其他目录,建议 cd C:windowstemp

xx局->政务投诉

邮件标题:xx市xx局xx中高中部假期补课、乱收费举报一一投诉多次未回复

邮件内容:您好,本人对了xxxx中高中部xx期间的假期补课、乱收费的举报投诉,多次发信未回复,相关证据、图片整理在附件中,请重视!

邮件附件:证据——xxx中高中部假期补课、乱收费举报相...zip

这里邮件附件同样使用长文件名修改图标打包压缩的方式处理。

钓鱼全流程梳理 | 攻防演练

企业OA->杀毒软件安装

场景:此类场景通常是通过web漏洞、钓鱼信息收集、密码暴力破解等方式进入了企业OA,登入内部员工的账号,利用企业OA的内部邮件系统群发。

邮件标题:【通知】关于公司进行攻防演习期间的杀毒软件强制要求安装通知

邮件内容:公司正在进行网络安全攻防演习,为加大防范力度,提高全员网络安全意识,要求所有员工在办公电脑安装360杀毒软件(见附件),届时安全员会随机对办公电脑进行抽查,未安装将会在公司范围通报批评。

木马处理:修改图标为360、火绒等杀毒软件图标,捆绑杀毒软件安装包,压缩处理。

钓鱼全流程梳理 | 攻防演练

二次钓鱼小技巧:在发送完钓鱼邮件后,可以等待半天的时间,发送二次钓鱼邮件,告知用户之前的邮件为恶意钓鱼邮件,需要全体员工开展电脑自查,附件附上“安全自查工具.exe”,这样可以达到以假乱真的效果,再次上线一波rou鸡。

4

钓鱼上线后优先级操作

在鱼儿上钩前,我们要先配置好CS的上线提醒,保证钓鱼上线后第一时间可以进行操作。

CS上线企微提醒:https://github.com/GitlXl/Cobalt_Strike_bot

接下来我会对上线后操作的优先级进行排序

1、隐藏

进程迁移

建议进程迁移至explorer,然后退出源进程对应的beacon

钓鱼全流程梳理 | 攻防演练

脱钩

使用github工具脱钩,可以有效规避edr

https://github.com/rsmudge/unhook-bof

unhook ntdll.dll

钓鱼全流程梳理 | 攻防演练

查询杀软

这里建议使用CS插件LSTAR,可以将查询到的杀软直接显示在CS的beacon状态栏

https://github.com/lintstar/LSTAR

钓鱼全流程梳理 | 攻防演练

重要提醒:目标上线后,无论是进行信息收集还是权限维持,在上传exe文件、运行CS插件之前,一定要测试exe、插件功能的免杀性,否则你一定会看着你beacon会话的sleep时间慢慢加直到变成灰色。(好不容易钓上来的鱼跑了,心态炸裂)

2、信息收集

抓取浏览器密码

  1. CS插件抓取 SharpWeb.exe   (CS插件taowu梼杌已集成)

  2. 上传应用程序运行抓取  hack-browser-data-windows-64bit.exe

https://github.com/moonD4rk/HackBrowserData

提取微信聊天记录

https://github.com/AdminTest0/SharpWxDump

该工具可以实现内存加载

execute-assembly D:工具在电脑里的绝对路径SharpWxDump.exe

翻文件

优先排查桌面文件、最近打开过的文件

查看最近打开过的文件命令

dir %AppData%MicrosoftWindowsRecent

提取运维软件密码

常见的运维软件navicat、xshell等等均可提取,梼杌等众多CS插件里均已集成,部分插件的exe不支持内存加载,再次强调使用时一定提前测试当前exe工具的免杀性能,避免打草惊蛇。

3、权限维持

权限维持这里就各显神通了,大部分钓鱼上线的主机很少有时间做权限维持,在完成上述信息收集后,已经掌握了大量运维信息、浏览器密码、密码本等信息,此时如果还有时间可以进行权限维持、挂代理的操作。

权限维持

无杀软的情况,使用CS插件的权限维持功能即可

有杀软的情况,通过wmi(需要高权限)提权有时可以绕过国内主流杀软,有需求的师傅可以搜索关键字,这里不再赘述。

需要高权限的情况,推荐关注一下最新的bypassuac文章,实测提权好用有效。(钓鱼上线主机大多为win7、win10,推荐使用bypassuac方式提权)

强关杀软

有大佬会研究出一些强关360、强关火绒的exe程序,需要各位师傅多关注微信公众号、b站视频,这类程序也具有一定免杀时效性、可用时效性,需要各位师傅自己收集。

挂代理

如果上线主机存在内网环境,可以在完成信息收集后尝试挂代理(通常电脑接在家庭网络、办公区,不通业务网,所以内网横向价值不大,挂代理优先级靠后)。本人喜欢用nps工具,使用nps要注意修补权限绕过漏洞、执行npc时不要再system用户下执行。当然网上还有一些公开的魔改frp,针对杀软和流量设备的绕过都比较好,推荐使用。

5

总结

最后,希望这篇文章不仅可以完善各位红队师傅的钓鱼思路,也可以帮助企业作为经典钓鱼案例来提高员工安全意识。

钓鱼全流程梳理如有遗漏欢迎评论区补充,祝各位师傅有勾必有鱼,天天有shell拿。


原文始发于微信公众号(渗透安全团队):钓鱼全流程梳理 | 攻防演练

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月19日01:40:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   钓鱼全流程梳理 | 攻防演练https://cn-sec.com/archives/2035748.html

发表评论

匿名网友 填写信息