【THM】Phishing 钓鱼攻击

Phishing 网络钓鱼

钓鱼攻击简介

在您了解什么是钓鱼之前，您需要理解“社会工程学”这个术语。社会工程学是通过利用人性的弱点对人们进行心理操纵，使他们执行或泄露信息的行为。这些“弱点”可以是好奇心、嫉妒、贪婪，甚至是善良和愿意帮助他人的意愿。钓鱼是通过电子邮件传递的社会工程学的一种形式，旨在欺骗某人泄露个人信息、凭证，甚至在其计算机上执行恶意代码。

这些电子邮件通常会看起来像是来自可信赖的来源，无论是个人还是企业。它们包含试图诱骗或欺骗人们下载软件、打开附件或点击链接到虚假网站的内容。

你可能会遇到的一个术语，以及红队会参与的钓鱼活动类型是鱼叉式钓鱼，就像投掷物理鱼叉一样；你会有一个目标去瞄准，同样，在鱼叉式钓鱼中，你是在针对个人、企业或组织，而不是针对任何人作为大规模攻击。这对于红队参与来说是一种有效的钓鱼方式，因为它们是针对特定目标的定制，这使得它们难以被诸如垃圾邮件过滤器、杀毒软件和防火墙等技术检测到。

可以雇佣一支红队专门进行钓鱼评估，以查看企业是否容易受到此类攻击，或者它也可以作为更广泛范围评估的一部分，并用于访问计算机系统或服务。

其他通过其他媒介进行的钓鱼方法包括短信钓鱼（通过短信进行钓鱼）和电话钓鱼（通过电话进行）。

示例场景：

以下示例场景展示了如何欺骗一名公司员工泄露其凭证。

1. 攻击者定位目标企业的物理位置。
2. 然后，攻击者寻找附近的食品供应商，发现了一家名为 Ultimate Cookies 的公司！
3. 攻击者注册了域名 ultimate-cookies.thm
4. 攻击者随后制作了一封电子邮件发送给目标，以免费饼干作为诱饵，诱使他们注册该网站。由于受害者听说过这家本地公司，他们更有可能信任它。
5. 受害者随后点击电子邮件中的链接，访问由攻击者创建的假冒网站并进行在线注册。为了简化操作，受害者为所有在线账户重复使用相同的密码。
6. 攻击者现在拥有了受害者的电子邮件地址和密码，可以登录受害者的公司电子邮件账户。攻击者现在可能有权访问私人公司信息，并且有地方可以针对其他员工发起另一场钓鱼攻击。

接下来，您将了解在设置红队钓鱼活动基础设施时会发生什么。

编写令人信服的钓鱼邮件

我们有三个关于钓鱼邮件需要处理的事项：发件人电子邮件地址、主题和内容。

发送者地址：

理想情况下，发送者的地址应来自一个冒充知名品牌、已知联系人或同事的域名。有关此信息的更多信息，请参阅下方的“选择钓鱼域名”任务。

要查找受害者交互的品牌或人物，您可以采用开源情报（OSINT）策略。例如：

• 观察他们的社交媒体账户，看看他们与哪些品牌或朋友交流。
• 在 Google 上搜索受害者的姓名和大概位置，以查找受害者可能留下的关于当地企业或品牌的评论。
• 查看受害者的商业网站以寻找供应商。
• 查看 LinkedIn 以寻找受害者的同事。

主题：

您应该将主题设置为非常紧急、令人担忧或能激起受害者好奇心的事情，这样他们就不会忽略它并迅速采取行动。

此类示例可能包括：

1. 您的账户已被入侵。
2. 您的包裹已发出/已发货。
3. 员工工资信息（请勿转发！）
4. 您的照片已发布。

内容：

如果冒充品牌或供应商，应研究他们的标准电子邮件模板和品牌（风格、标志图像、结束语等），使您的内 容看起来与他们的一样，这样受害者就不会期待任何东西。如果冒充联系人或同事，联系他们可能有益；首先，他们可能在模板中有些品牌元素，有特定的电子邮件签名，甚至是一些小的细节，例如，有人名叫多萝西，他们的电子邮件是 dorothy@company.thm。然而，在他们的签名中，可能会说“最好的问候，Dot”。了解这些看似微不足道的事情有时会对受害者产生相当显著的心理影响，并使他们更有可能打开并采取行动处理电子邮件。

如果您已设置一个用于收集数据或分发恶意软件的欺骗网站，则应使用锚文本对其进行伪装，将其改为“点击此处”之类的文本，或者改为看起来正确的链接，以反映您所欺骗的业务，例如：

<a href="http://spoofsite.thm">Click Here</a>

<a href="http://spoofsite.thm">https://onlinebank.thm</a>

钓鱼基础设施

一定数量的基础设施需要建立起来，以成功发起钓鱼活动。

域名：

您需要注册一个看起来真实的域名或模仿另一个域名的身份。有关如何创建完美域名的详细信息，请参阅任务 5。

SSL/TLS 证书：

为所选域名创建 SSL/TLS 证书将为攻击添加额外的真实性层。

电子邮件服务器/账户：

您需要设置电子邮件服务器或注册 SMTP 电子邮件提供商。

DNS 记录：

设置 DNS 记录，如 SPF、DKIM、DMARC，将提高您电子邮件的投递率，并确保它们进入收件箱而不是垃圾邮件文件夹。

Web 服务器：

您需要设置网络服务器或从公司购买网络托管来托管您的钓鱼网站。为网站添加 SSL/TLS 将为其提供额外的真实性层。

分析：

当钓鱼活动是红队参与的一部分时，保留分析信息更为重要。您需要某种东西来跟踪已发送、已打开或已点击的电子邮件。您还需要将其与用户已提供个人信息或下载软件的钓鱼网站信息相结合。

自动化和有用软件：

一些上述基础设施可以通过以下工具快速自动化。

GoPhish - (开源钓鱼框架) - getgophish.com

GoPhish 是一个基于 Web 的框架，使设置钓鱼活动更加简单。GoPhish 允许您存储用于发送电子邮件的 SMTP 服务器设置，提供了一个基于 Web 的工具，使用简单的所见即所得 (WYSIWYG) 编辑器创建电子邮件模板。您还可以安排发送电子邮件的时间，并有一个分析仪表板，显示已发送、已打开或已点击的电子邮件数量。

下一个任务将指导您如何使用此软件启动钓鱼活动。

SET - (社交工程工具包) - trustedsec.com

社交工程工具包包含众多工具，但其中一些重要的钓鱼工具包括创建鱼叉式钓鱼攻击和部署常见网站的假版本，以诱骗受害者输入他们的凭据。

使用 GoPhish

此任务将指导您设置 GoPhish，发送钓鱼活动并从仿冒网站捕获用户凭据。

您应该能够使用用户名：admin 和密码：tryhackme 登录

发送配置文件：

发送配置文件是实际发送钓鱼邮件所需的连接详情；这只是一个您有权访问的 SMTP 服务器。点击左侧菜单中的“发送配置文件”链接，然后点击“新建配置文件”按钮。

接下来，根据以下截图添加以下信息：

名称：本地服务器

发件人：noreply@redteam.thm

主机：127.0.0.1:25

然后点击保存配置文件。

着陆页面：

接下来，我们将设置着陆页面；这是钓鱼邮件将引导受害者访问的网站；这个页面通常是受害者熟悉的网站的仿冒页面。

点击左侧菜单中的“着陆页面”链接，然后点击“新建页面”按钮。

给着陆页面命名为 ACME 登录，接下来在 HTML 框中；您需要按下“源代码”按钮，以便我们输入如下所示的 HTML 代码：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>ACME IT SUPPORT - Admin Panel</title>
    <style>
        body { font-family: "Ubuntu", monospace; text-align: center }
        div.login-form { margin:auto; width:300px; border:1px solid #ececec; padding:10px;text-align: left;font-size:13px;}
        div.login-form div input { margin-bottom:7px;}
        div.login-form input { width:280px;}
        div.login-form div:last-child { text-align: center; }
        div.login-form div:last-child input { width:100px;}
    </style>
</head>
<body>
    <h2>ACME IT SUPPORT</h2>
    <h3>Admin Panel</h3>
    <form method="post">
        <div class="login-form">
            <div>Username:</div>
            <div><input name="username"></div>
            <div>Password:</div>
            <div><input type="password" name="password"></div>
            <div><input type="submit" value="Login"></div>
        </div>
    </form>
</body>
</html>

点击源按钮再次，你应该会看到一个带有用户名和密码字段的登录框，如下面的图片所示，然后也点击“捕获提交数据”框，接着也点击“捕获密码”框，然后点击“保存页面”按钮。

邮件模板：

这是您将要实际发送给受害者的电子邮件的设计和内容；它需要具有说服力并包含指向您着陆页的链接，以便我们能够捕获受害者的用户名和密码。点击左侧菜单中的“电子邮件模板”链接，然后点击“新建模板”按钮。将模板命名为“电子邮件 1”，主题为“新消息接收”，点击“HTML”选项卡，然后点击“源”按钮以启用 HTML 编辑器模式。在内容中编写一封具有说服力的电子邮件，以说服用户点击链接，链接文本需要设置为 https://admin.acmeitsupport.thm，但实际链接需要设置为{{.URL}}，当电子邮件发送时，它将被更改为我们的伪造着陆页，您可以通过突出显示链接文本然后点击图标行顶部的链接按钮来完成此操作，确保将协议下拉菜单设置为<其他>。

您的电子邮件应类似于下面的截图。完成设置后，点击“保存模板”。

用户 & 组

这里可以存储我们目标对象的电子邮件地址。点击左侧菜单中的“用户与组”链接，然后点击“新建组”按钮。给该组命名为“目标”，然后添加以下电子邮件地址：

martin@acmeitsupport.thm
brian@acmeitsupport.thm
accounts@acmeitsupport.thm

点击“保存模板”按钮；完成后，应该看起来像下面的截图：

活动

现在该发送您的第一封电子邮件了；点击左侧菜单中的“活动”链接，然后点击“新建活动”按钮。根据以下截图设置输入值：

名称：活动一

电子邮件模板：电子邮件 1

着陆页：ACME 登录

URL: http://MACHINE_IP

启动日期：为此实验室设置，请将其设置为 2 天前，以确保没有不同时区带来的复杂性，在实际操作中这将设置正确。

发送配置文件：本地服务器

分组：目标

完成操作后，点击“启动活动”按钮，这将弹出一个“您确定吗？”提示框，您只需按下“启动”按钮即可。

您将被重定向到活动的结果页面。

结果

结果页面让我们了解钓鱼活动表现如何，通过告诉我们已发送、已打开、已点击的电子邮件数量以及有多少用户向我们的仿冒网站提交了数据。

您会在屏幕底部看到每个电子邮件地址的详细分解；您会注意到 Martin 和 Brian 的电子邮件已成功发送，但账户的电子邮件出现了错误。

我们可以通过点击账户行旁边的下拉箭头来深入了解错误，通过查看详细信息或错误，我们可以看到一个错误消息，表示用户未知。

在一分钟内，如果你正确地遵循了指示，你应该看到 brian 的状态变为已提交数据。

扩展 Brian 的详细信息并查看提交数据的详细信息后，您应该能够看到 Brian 的用户名和密码，这将有助于您回答下面的问题。

Dropper(植入程序)

Dropper是网络钓鱼的受害者往往会被诱骗下载并在他们的系统上运行的一种软件，Dropper可能会表现为有用的或合法的东西，如用于查看特定视频的编码解码器或者用于打开特定文件的软件。

Dropper(一种植入程序)本身通常不是恶意的，所以它们往往能通过防病毒检查。一旦Dropper程序被成功安装到目标计算机上，预期的恶意软件可能将被解包安装，或者目标机器会基于远程服务器下载恶意软件，然后再安装恶意软件到受害者的计算机上。被成功安装的恶意软件通常会回连攻击者的基础设施，从而使得攻击者可以控制受害者的计算机，并能进一步探索和利用目标机器所在的内部网络。

选择钓鱼域名

选择合适的钓鱼域名来发起攻击至关重要，以确保你在心理上对目标有优势。红队行动可以使用以下方法来选择完美的域名。

过期域名(旧域名)：

虽然不是必需的，但购买一个有一定历史的域名可能会在垃圾邮件过滤器中对你的域名评分更好。垃圾邮件过滤器倾向于不相信全新的域名，相比之下，那些有一定历史的域名更受信任。

域名劫持(假冒URL)：

域名仿冒是指注册的域名看起来非常类似于你试图冒充的目标域名。以下是一些常见方法：

拼写错误：goggle.com 与 google.com

多余的点：go.ogle.com 与 google.com

数字与字母互换：g00gle.com 与 google.com

表述：googles.com 与 google.com

额外词汇：googleresults.com 与 google.com

这些变化可能看起来不切实际，但一眼看去，人脑往往会填补空白，看到它想看到的东西，即正确的域名。

顶级域名替代方案：

顶级域名（TLD，Top Level Domain）是域名中的.com .net .co.uk .org .gov 等部分，现在有数百种 TLD 变体。选择域名的一个常见技巧是使用相同的名称，但使用不同的 TLD。例如，注册 tryhackme.co.uk 来模仿 tryhackme.com。

IDN 同音攻击/脚本欺骗：

最初，域名由拉丁字母 a-z 和 0-9 组成，但 1998 年，为了支持其他语言的语言特定脚本或字母，如阿拉伯语、中文、西里尔字母、希伯来语等，实施了 IDN（国际化域名）。IDN 实施引发的一个问题是，不同语言的字母实际上可能看起来相同。例如，Unicode 字符 U+0430（西里尔小写字母 a）看起来与用于英语的 Unicode 字符 U+0061（拉丁小写字母 a）相同，这使得攻击者可以注册一个看起来几乎相同的域名。

在钓鱼攻击中使用 MS Office

在钓鱼活动中，通常会将 Microsoft Office 文档（通常是 Word、Excel 或 PowerPoint）作为附件包含在内。Office 文档可以包含宏；宏确实有合法用途，但也可能被用来运行计算机命令，导致恶意软件被安装到受害者计算机上，或者连接到攻击者的网络，使攻击者能够控制受害者的计算机。

例如，考虑以下场景：

一位为 Acme IT Support 工作的员工收到了一封来自人力资源部门的电子邮件，其中包含一个名为"Staff_Salaries.xlsx"的 Excel 电子表格，本应发送给老板，但不知何故却误发到了员工们的收件箱中。

实际上发生的情况是，攻击者伪造了人力资源部门的电子邮件地址，制作了一封心理诱导性极强的电子邮件，完美地针对员工诱导他们打开附件。

一旦员工打开附件并启用宏，他们的电脑就遭到了破坏。

使用浏览器漏洞

另一种控制受害者电脑的方法可能是通过浏览器漏洞；这指的是针对浏览器本身的漏洞（如 Internet Explorer/Edge、Firefox、Chrome、Safari 等），允许攻击者在受害者电脑上运行远程命令。

浏览器漏洞通常不是红队行动中常见的路径，除非你事先了解现场正在使用旧技术。许多浏览器都保持更新，由于浏览器的发展方式，很难被利用，而且如果向开发者报告，这些漏洞通常价值不菲。

话虽如此，这种情况可能发生，如前所述，它可能被用来针对现场的老旧技术，因为可能由于与商业软件/硬件不兼容，浏览器软件无法更新，这在教育、政府等大型机构中相当常见。

通常，受害者会收到一封电子邮件，诱使他们访问攻击者设置的特定网站。一旦受害者进入该网站，漏洞就会针对浏览器进行利用，现在攻击者可以在受害者的计算机上执行他们想要的任何命令。

例如，这是 2021 年 9 月的 CVE-2021-40444 漏洞，这是在微软系统中发现的一个漏洞，允许仅通过访问网站即可执行代码。

钓鱼实践

现在你已经学会了钓鱼邮件活动包含的内容，让我们看看你是否能识别它们！点击绿色的“查看网站”按钮以启动钓鱼测试网站。检查每一封邮件，包括它的来源、链接和附件，并决定你认为这封邮件是否安全。

第一题，使用了额外词汇，与原地址不同

第二题，使用少拼的方式“thebankingroup"本来应该时”thebankinggroup"有时人们会自主看成正确的地址，此外也不要下载来源不明的附件

第三题正确
第四题，不要下载陌生来源的附件