2024年6月25日13:39:55评论2 views字数 7637阅读25分27秒阅读模式

“有了对自己死亡的预知，我知道巨人杀不了我。尽管如此，我还是宁愿保持我的骨头不被折断“——Big Phish

当我们发送网络钓鱼电子邮件时，我们是在考虑巨头。Spamhaus、SpamAssassin、SpamTitan、Barracuda 和更多巨头都希望磨碎你的骨头来烤面包。它们很大。他们很可怕。但他们并没有抓住一切。就像爱德华·布鲁姆（Edward Bloom）学到的那样;与巨头打交道的最好方法是给人留下良好的第一印象。

这也是我们将如何与这些巨头打交道。让我们谈谈与巨人交谈时的适当礼仪。

“他吃了我的狗”

邮件服务器拒绝您的电子邮件的第一个机会是在 SMTP 交换开始时。服务器可以检查您的发送 IP 和您声称位于 FROM 地址中的域的信誉。通常，使您被良好的安全邮件网关（SEG）阻止的主要控件是以下某些版本：

您的发送 IP 是否显示在已知的垃圾邮件列表中，例如 Spamhaus？
发送 IP 的地理位置是否在另一个国家/地区？
发送域的声誉/类别是什么？
发送域的期限是多少？
SPF会失败吗？

当然，所有这些检查通常都是可配置的，并不是每个 SEG 都会执行所有这些检查。这些只是我倾向于期望的一些最常见的控制措施，这些控制措施是网络钓鱼生命周期中此阶段失败的根本原因。这些都不是那么难以解决/绕过，因此通过考虑它们，我们通常可以确保我们的网络钓鱼活动不会在此层被阻止。

绕过发件人信誉检查

当我们尝试传递消息时，我们将连接到目标电子邮件域的邮件服务器，告诉它我们是谁以及我们想向谁发送消息，然后向其提供消息的内容。下面是一个示例，说明该对话在引擎盖下的样子，我们控制的数据为蓝色，服务器响应为绿色：

通常，IP 地址块对我们来说很容易进行故障排除，因为如果我们的发送 IP 被阻止，服务器通常只会终止 TCP 连接，我们甚至无法启动此 SMTP 调用和响应。立即被 IP 阻止的情况非常罕见，这通常意味着您从与发送大量垃圾邮件相关的 IP 发送，或者您的发送 IP 的 GeoIP 结果位于被阻止的国家或地区。如果是这种情况，请尝试从另一个 IP 发送。

服务器阻止我们的下一个机会是通过我们作为发送域提供的域的声誉。请注意，在我们的示例中，发送域是“contoso.com”，并且在 EHLO 和 MAIL FROM 命令中使用。这些域通常匹配，但并非必须匹配。随意修改这些值的不匹配，以查看不同的邮件服务器如何响应。

您可以将 EHLO 和 MAIL FROM 命令视为“我是 contoso.com 的邮件服务器，我将从 [email protected] 向您的一个用户发送电子邮件”。此时，接收服务器有机会通过检查以下几点来接受或拒绝我们的声明：

contoso.com 是否在已知的垃圾邮件列表中？（永远不会让它通过）
contoso.com 明确列入白名单吗？（总是会让它通过）
contoso.com 域名的年龄是多少？
contoso.com 分类吗？如果是这样，它是什么类别？
服务器以前是否收到过来自 contoso.com 的电子邮件？
contoso.com 的 MX 记录是否与您的发送 IP 地址匹配？
发送 IP 的反向 DNS 查找是否解析为 <something>.contoso.com？
contoso.com 发布包含您的发送 IP 地址的 SPF 记录吗？

大多数邮件服务器将执行其中一项或多项检查，以获取有关您是否受信任的提示。其中一些提示，如反向DNS记录，如果通过检查，将提高我们的声誉，但如果它们失败，不会真正损害我们的声誉。其他的，比如试图从不在该域的 SPF 记录中的 IP 中欺骗一个域，可能会让我们立即被烧毁。因此，我们应该尝试尽可能多地通过这些检查，同时避免使用可能被明确识别为欺骗的技术。

那么，我应该使用哪个域名呢？

在选择我们的发送域时，我们有几个选项，每个选项都有自己的优点和缺点。我们可以欺骗一个我们不拥有的域名，也可以购买一个域名。如果我们购买一个域名，我们可以获得我们选择的全新域名，也可以购买以前由其他人购买的过期域名。没有一种方法天生就比其他方法更好，但是在做出选择时，我们应该清楚地了解如何充分利用每种技术。

欺骗性域名

优点

自由！“诺说
使归因变得困难。你基本上是在陷害别人。（注意：如果您必须与蓝队进行归因和消除冲突，这可能是一个骗局）
可能已经分类并且足够老，可以通过对新注册的域名的检查
成功的恶搞看起来非常合法，因此可以提高成功率

缺点

仅限于您可以找到的现有域
您可以使用不存在的域，但它们很容易识别并且经常被阻止。在这种情况下，通常最好购买。
大多数高价值域名都实施了 SPF 等电子邮件安全设置，这可能会使欺骗变得困难，如果不是不可能的话，也不会被发现
我们无法在域名上设置自己的电子邮件安全设置，这可能会提高我们的声誉（没有控制权，也没有所有权证明）
我们对域名类别或声誉没有影响

欺骗域时的注意事项

我们的目标邮件服务器是否真的检查了 SPF？

如果没有，我们应该能够成功地欺骗几乎任何域。我见过几个案例，无论出于何种原因，SPF 检查要么被关闭，要么配置错误，因此 SPF 失败不会导致电子邮件被拒绝。尝试发送一些良性电子邮件，同时故意使 SPF 失败，以查看服务器是否发回错误消息或说它已发送错误消息，这通常是值得的。虽然您不会收到任何来自收件人的退回邮件或回复（这些邮件或回复将发送到您的欺骗域的邮件服务器），但您可以尝试在指向您拥有的 Web 服务器的电子邮件中放置远程 CSS 资源的图像链接或标签，并跟踪对这些资源的请求，作为电子邮件已送达的潜在指标。

是否有类似的注册域名缺少 SPF 记录？

您也许能够找到已注册的域，这些域看起来与目标组织的域非常相似，但尚未配置任何允许邮件服务器确认或拒绝欺骗尝试的电子邮件安全设置。在某些情况下，我见过一些客户购买了与自己的域名相似的域名以防止域名抢注，但随后忘记应用电子邮件设置以防止欺骗。在其他情况下，我见过投机取巧的域名抢注者，他们购买相似的域名，以防它们变得有价值，并且懒得为他们的域名设置任何DNS记录。无论哪种情况，我们都可能欺骗这些域，而邮件服务器将无法知道我们不拥有它们。虽然这可能意味着我们从普遍较低的信任分数开始，但大多数邮件服务器不会仅仅因为发送域缺少正确配置的 SPF 记录而直接拒绝邮件。那是因为有这么多合法的组织从未费心建立一个。

您的目标组织是否在其 SPF 记录的“包含”语句中列出了过期的域名？

假设我们的目标组织的电子邮件域 fabrikam.com，我们希望在发送给目标用户时欺骗内部电子邮件地址（[email protected]）。以 fabrikam.com 的以下 SPF 记录为例：

v=spf1 mx a ip4:12.34.45.56/28 include:sendgrid.net include:imexpired.net -all

此 SPF 记录列出了允许从 frabrikam.com 发送电子邮件的主机/IP。以下是每件作品的含义：

v=spf1

这是 SPF 版本 1 TXT 记录。用于将 SPF 与其他 TXT 记录区分开来。

MX系列

域的 MX（邮件服务器）记录的 IP 受信任，可以从 fabrikam.com 发送电子邮件

一个

在域本身上执行正向 DNS 查找的 IP 也是受信任的 IP

IP4：12.34.45.56/28

这个小范围内的任何 IP 都可以信任从 fabrikam.com 发送电子邮件

包括：sendgrid.net

sendgrid.net 的 SPF 记录中列出的任何 IP 或 IP 范围也是可信的

包括：Imexpired.net

imexpired.net 的 SPF 记录中列出的任何 IP 或 IP 范围也是可信的

-都

前面指令中未列出的所有其他发送 IP 都被明确拒绝发送声称来自 fabrikam.com 的电子邮件

正如这个演示所示，SPF 中的“include”指令允许你信任其他域代表你的域发送。例如，可以将电子邮件服务（如 sendgrid）配置为通过 SPF 检查，以便 sendgrid 可以将营销电子邮件从 fabrikam.com 传递给其客户。在我们的示例中，如果我们的客户以前信任 imexpired.net 发送电子邮件，但域名现在已过期，这意味着我们购买了 imexpired.net 并将我们自己的服务器添加到 imexpired.net 的 SPF 记录中。然后，我们将能够通过 fabrikam.com 和欺骗内部用户的 SPF 检查。

我们可以通过其他技术技巧绕过 SPF 保护吗？

根据接收邮件服务器的配置，我们可能还有其他方法可以欺骗我们不拥有的域。例如，某些电子邮件服务器不需要 SPF 对齐。这意味着我们在“MAIL FROM”SMTP 命令中指定的域与邮件内容本身中的“From”字段之间可能存在不匹配。在这些情况下，我们可以使用我们拥有并可以传递 SPF 的域，或者在“SMTP FROM”命令中使用任何没有 SPF 记录的域，然后为我们的目标用户在其邮件客户端中看到的电子邮件地址选择任何其他域。我们有时可以使用的另一个技巧是提供所谓的“空发送者”。为此，我们只需指定“<>”作为发送方。空发件人用于退回邮件，垃圾邮件过滤器有时允许空发件人进行故障排除。

SMTP 是一种纯粹基于文本的协议。这意味着在确定每个数据部分的开头和结尾时通常存在歧义，并且 SMTP 实现通常存在解析缺陷，这些缺陷可能会被滥用以绕过 SPF 和 DKIM 等安全功能。2020年，陈建军等。al发布了一份白皮书，展示了他们发现的18个独立的缺陷，这些缺陷甚至影响了像谷歌这样的一些大型电子邮件提供商：

https://i.blackhat.com/USA-20/Thursday/us-20-Chen-You-Have-No-Idea-Who-Sent-That-Email-18-Attacks-On-Email-Sender-Authentication.pdf

https://www.usenix.org/system/files/sec20fall_chen-jianjun_prepub_0.pdf

他们还发布了他们用来发现这些漏洞的工具，以及他们的研究方法。虽然他们向他们测试的供应商披露了这些漏洞，但他们并没有测试每个主要的 SEG 是否存在所有这些漏洞，您可能会发现一些流行的 SEG 仍然容易受到攻击;)

2023 年，Marcello Salvati 展示了一种流行的电子邮件发送服务中的一个缺陷，该服务允许任何人通过数百万个合法域的 SPF。

他在DefCon上关于这个主题的演讲也展示了他的研究和发现过程。我知道其他一些主要的电子邮件发送服务也存在类似的缺陷，但我不会在这篇文章中将它们扔到公共汽车下。祝您狩猎愉快！

购买全新域名

优点

我们可以设置 SPF、DMARC、DKIM 以确保我们通过这些检查
我们控制 MX 记录，以便我们可以在此域接收邮件
对名称进行更精细的创意控制

缺点

在发送广告系列之前，可能需要一些时间来建立声誉

购买过期域名

优点

我们可以设置 SPF、DMARC、DKIM 并确保我们通过这些检查
我们控制 MX 记录，以便我们可以在此域接收邮件
更有可能已经被分类
您可能有回溯计算机结果来帮助保留当前类别
您可能会挽救一些 freebee 社交媒体帐户

缺点

对域名的控制很少。您可以获得关键字，但除此之外，您只需要幸运地了解哪些关键字可用

任何已购买域名的注意事项

使用我们拥有的域进行网络钓鱼的两个主要优点是，我们可以为域指定邮件服务器和邮件安全设置。这意味着如果需要，我们实际上可以与网络钓鱼目标进行来回对话。这为更个性化的借口提供了可能性。通过建立我们自己的 SPF、DMARC 和 DKIM 记录，我们可以确保我们通过这些检查，使我们的电子邮件很有可能通过基于声誉的检查。

拥有域名的第三个好处是，我们可以控制更多可能有助于我们对域名进行分类的因素。邮件网关、Web 代理和 DNS 安全设备通常会抓取新域，以确定在域的主网站上发布的内容类型（如果存在）。然后，他们根据该域的站点类型确定是否阻止或允许对该域的请求。包含此类类别检查的安全产品通常是可配置的。例如，一些组织阻止社交媒体网站，而另一些组织则允许员工在工作中使用社交媒体。通常，大多数网络管理员将允许某些常见的良性类别。对于红队成员来说，几个经典的理想类别是“医疗保健”和“金融”。这些类别在用于命令和控制（C2）流量时具有额外的好处，尽管出于传递电子邮件的目的，我们实际上只需要被归类为任何不粗略的东西。如果你的域名根本没有被分类，或者属于 “坏 ”类别，那么你的广告系列就会死在水里，所以这里有一些关于摆脱顽皮名单的提示。

对新域进行分类

.US.ORG 域名

我最喜欢的域名分类快捷方式之一是在“us.org”或类似的顶级级别注册域名。因为“us.org”是一个域名注册商，所以它的 Bluecoat 类别是“虚拟主机”，并且已经存在了很多年。当您购买其中一个域名的那一刻，您将自动被归入一个通常良性且经常允许的类别。

用 HumbleChameleon 分类

虽然 Humble Chameleon （HC）旨在绕过网络钓鱼评估中的多因素身份验证，但它也具有一些“隐藏在”良性域后面的强大功能。您可以设置 HC 的“primary_target”选项以指向您想要模仿的站点，并让透明代理完成剩下的工作。

警告：每当您的域被抓取时，您的服务器都会将流量转发到被冒充的站点。我之前在我的服务器上看到过日志，有人扫描我的网站以查找 WordPress 漏洞，因此导致我的服务器向我冒充的网站发送相同的恶意流量。虽然因此被起诉的可能性非常低，但请注意，这种技术可能会使您处于灰色地带。明智地选择目标并保留良好的日志。

使用克隆和 Nginx/Apache 进行分类

如果您从未使用过 httrack 来克隆网站，那么您真的应该帮自己一个忙并探索这个绝对经典！你问有多经典？Xavier Roche 于 1998 年首次发布了这个网站克隆器，它仍然是快速克隆网站的绝佳工具。Httrack 将网站资源保存在目录结构中，非常适合使用静态 Nginx 或 Apache Web 服务器进行托管。整个设置过程可以很容易地使用 Ansible 编写脚本，以建立克隆以进行域分类。

使用 Chatgpt 和 S3 进行分类

静态站点托管的更现代版本是要求 AI 机器人为您编写网站，然后使用 S3 存储桶和内容分发网络等廉价云服务提供静态内容。如果你被卡住了，或者不知道如何自动化这个过程，你可以问机器人;)

对过期的域进行分类

每当您购买过期的域名时，您都应该在购买前检查其类别。维护一个好的类别比尝试重新分类一个域名要容易得多，所以只有当它已经处于良性类别时才购买它。购买后，您有两种选择来维护该类别。您可以生成一些新内容或重新托管网站的旧内容。如果你想生成新内容，AI路线可能是最有效的。但是，我首选的方法是将旧网站的内容放回 Internet。如果该内容是原始分类的内容，那么它也应该将其保留在同一类别中。

使用 Wayback 进行分类

如果您刚刚购买的过期域名被 Wayback Machine 索引，那么您可以使用简单的 Ruby 脚本下载旧页面：

https://github.com/hartator/wayback-machine-downloader

这个脚本非常容易安装和使用，当与 Nginx、Apache 等配对时，通常会在几分钟内给你一个不错的静态站点克隆。请记住，您可能需要手动修改可能仍受先前所有者版权或商标保护的网站内容。

社交媒体账户奖金

对于您购买的过期网站，您是否曾经设置过邮件服务器并监控传入的电子邮件？我有！结果可能令人着迷。您可能会发现，您刚刚购买的域名曾经属于一家正常运作的公司，该公司的一些员工使用他们的工作电子邮件注册了社交媒体网站等服务。现在，公司倒闭了，这些员工无法访问他们以前的工作电子邮件，但您可以访问。我需要再次强调，这是一个法律灰色地带，因此请尽你所能将他们的账户归还给这些人，并更改你决定保留为猫式网络钓鱼账户的任何其他人的 PII。

任何域的一般提示

先发送一些“安全”的电子邮件

一些 SEG 会阻止来自他们以前从未见过的域的电子邮件，无论声誉如何。因此，在发送任何网络钓鱼借口之前，最好使用您的新域发送一些完全良性的电子邮件。您可以将这些地址发送到“info@”或类似的通用邮箱，并保持邮件含糊不清，希望另一端的任何人都不会注意到/忽略。我们只是想让 SEG 确定来自我们域的电子邮件是安全的，并且将来应该被允许。我还听说，在带有指向您域的 HREF 的电子邮件中添加隐藏链接也会对某些 SEG 起作用，尽管我个人没有尝试过这种技术。

使用 Sendgrid、MailChimp 等。

这些服务专门为其客户提供大量电子邮件传递。他们孜孜不倦地工作，使他们的电子邮件服务器远离阻止列表，并帮助营销人员开展网络钓鱼活动......咳咳，我的意思是向他们的目标“广告”......哎呀，我的意思是“线索”。再一次，营销工具是您在冷电子邮件时的朋友。请记住，这些服务不喜欢像您这样的诈骗者和垃圾邮件发送者，因此，如果您对网络钓鱼过于激进并且您的帐户被阻止，请不要感到惊讶。保持活动规模小和有针对性的另一个论点。

使用注册商的电子邮件服务

大多数域名注册商还提供托管和电子邮件服务。有些甚至免费提供一些邮箱！与电子邮件发送服务类似，您的注册商的邮件服务器通常会为其他客户提供大量合法邮件，因此从 IP 角度来看具有良好的声誉。如果您采取这种方式，请务必让注册商知道您是渗透测试人员，以及您将将哪些域用于哪些活动。与我合作过的大多数人都有一个滥用电子邮件地址，并且会尊重您的用例。

使用 Gmail 进行长期骗局

个人电子邮件通常是企业电子邮件过滤器的盲点。完全阻止来自 Gmail、Yahoo、Outlook 等的入站电子邮件是一颗难以吞咽的药丸，大多数网络管理员决定允许它们，而不是回答员工不断提出的请求，为这个或那个发件人设置例外。此外，将声誉分数应用于单个发件人非常困难。因此，如果您能想出一个有意义的借口来自Gmail帐户，那么您很有可能至少绕过域信誉检查。这对于个性化活动非常有效，在链接/有效载荷交付之前，您实际上会与目标进行来回对话。

设置 SPF、DKIM 和 DMARC

对于发送您拥有的域，设置电子邮件安全设置将始终对您有利。查看注册商的 API 文档，并编写脚本来设置这些 DNS 设置。

阅读日志！

当您开始使用域发送电子邮件时，请务必仔细查看您的 SMTP 日志。它们通常非常有助于确定您的消息是否因您控制的原因而被阻止。例如，我知道 Mimecast 会经常阻止来自以前从未见过的新发件人的电子邮件，但会回复一条非常有用的消息，解释如何摆脱他们的“灰名单”。解决方案只是在接下来的 24 小时内重新发送电子邮件。如果您不查看日志，则在您可以轻松发送电子邮件时会被阻止。

原文始发于微信公众号（安全狗的自我修养）：如何提升您的网络钓鱼域名的声誉

左青龙
微信扫一扫

右白虎
微信扫一扫