*嚴正聲明:本文僅適用於教育目的,切勿越過法律規定的邊界範圍!
幾個禮拜前,我突然對網絡釣魚活動以及它們是如何執行的產生了濃厚的興趣,在本文中我將這個故事分成了多個部分來進行。
釣魚域名
讓我們從一條釣魚短信說起。可以看到短信中告知我丟失的蘋果手機已被找到,只需點擊短信中的鏈接即可獲取相關信息。
這裡的接收者是合法的。手機位置鏈接與真正的icloud鏈接非常相似,並且連接為https。
我相信大部分用戶根本無法看出這會是一個釣魚鏈接,並會相信它是一個來自蘋果的真實地址。
這裡,我強烈建議使用Kali Linux工具箱中的UrlCrazy,或者你也可以使用catphish。
在該示例中,你可以看到許多用於網絡釣魚和欺詐的註冊域。你可以使用任何類型的域名“Typo”。 如字符省略,位反轉,同形異義字等。
實際上在某些情況下,同形異義字可能是最有意思的。
假設我們已經準備好了域名,並在GoDaddy中進行了註冊。
此外,你還可以在此處註冊免費域,並在攻擊場景中使用子域名。
保護 DMARC,DKIM,SPF
DMARC(基於域的消息驗證,報告和一致性)通過聲明應該使用上述工具的明確策略並允許設置可以使用的地址來授權SPF(發件人策略框架)和DKIM(DomainKeys識別郵件) 發送有關接收方針對特定域收集的郵件消息統計信息的報告。我不會在這裡解釋如何使用該策略配置郵件服務器。但大多數情況下,這是域名和郵件服務器的DNS管理工具中的正確配置。
我使用了一個免費的郵件服務器 – 來自Yandex的Mail for Domain。
完成配置安全策略的所有活動後,我強烈建議你通過檢查配置得分來測試電子郵件,它不需要被放置到垃圾郵箱中。
好的電子郵件得分應該像上面一樣。為了檢查我的電子郵件和郵件服務器的所有設置,我使用了該服務 – Mail Tester。
電子郵件地址 OSINT
如果我們對公司電子郵件地址執行攻擊 – 我們可以在以下資源上發現一些洩漏數據。
Public Database Directory – Public DB Host
Find the source of your leaks
Search Engine
Find email addresses in seconds * Hunter (Email Hunter)
但別忘了使用theHarvester搜索谷歌,這同樣非常的有幫助。
繞過 2FA 的 MITM 攻擊框架
在此之前的一切都是在為攻擊做準備。現在所有內容都已配置完畢,我們已經準備好向受害者發送電子郵件中有趣的內容。在這個部分主要是配置2fa-mitm端點,這樣我們可以捕獲會話,即使帳戶受2fa保護(Github帳戶、LinkedIn帳戶等)
所以我決定從這些框架中選擇一個:Credsnipper、Reelphish和Evilginx。
我選擇的是Evilginx2.2.0版本。
Evilginx2是一箇中間人攻擊框架,用於網絡釣魚登錄憑證和會話cookie,從而允許繞過雙因素身份驗證保護。
作為使用Evilginx服務器的虛擬機,我使用了帶有Ubuntu鏡像的AWS EC2實例。
使用SSH連接可以輕鬆啟動和控制。
接下來,我們只需更新並安裝我們的框架:
apt-get update
apt-get upgrade
wget https://github.com/kgretzky/evilginx2/releases/download/2.2.0/evilginx_linux_x86_2.2.0.zip
apt-get install unzip
unzip evilginx
cd evilginx
chmod +x install.sh
chmod +x evilginx
並確保沒有服務偵聽端口TCP 443,TCP 80和UDP 53。你可能需要關閉apache或nginx以及用於解析可能正在運行的DNS的任何服務。如果無法在任何這些端口上打開偵聽套接字,Evilginx會在啟動時告知你。
如果端口發生此類衝突 – 那麼你將需要在我們的EC2計算機上運行該命令。
systemctl disable systemd-resolved
systemctl stop systemd-resolved
rm /etc/resolv.conf
echo 'nameserver 8.8.8.8' > /etc/resolv.conf
所有其他必需的說明都在readme中。
Evilginx2 和網絡釣魚域的配置部分
對於我們的AWS EC2機器,我們有一個公共IP地址。
在DNS管理中我們應該這樣:
目標 – 是我們的EC2公共IP地址。
名稱 – 是我們將使用的子域名。(phishing.valyaroller.tk)
之後,我們需要使用我們的AWS EC2的域名和公共IP配置Evilginx。
這裡我們有一個最終的配置。
接下來,我們需要為我們的網絡釣魚域獲取SSL/TLS證書。
phishlets hostname linkedin phishing.valyaroller.tk
phishlets enable linkedin
現在,我們就可以在我們的測試帳戶上進行演示了。
如你所見,該框架可以支持端到端驗證。如果我們嘗試使用錯誤的密碼登錄 – 我們將看到驗證消息,並且當受害者提供sms code時 – 我們將捕獲有效的會話。
總結
通過一步步的對釣魚活動的深入和了解,我學到了許多有趣的東西。在此聲明,我沒有進行任何非法的活動。我也強烈建議你不要嘗試越過法律的邊界,去做法律不允許的事情。如你所見,大多數時候這些釣魚鏈接看起來像是合法的並且還支持https。你有沒有2FA保護並不重要,我想唯一可以保護你的應該是你的觀察和注意力。
此外,這裡還有一些教育企業員工的防禦攻擊培訓服務:
閱讀更多 Whitezero 的文章
