你也喜欢“钓鱼“吗?

免责声明:本文仅做分享!

目录

什么是网络钓鱼

流程

攻击手法

0-隐藏自己

1-office宏

创建xxx.dotm

创建xxx.docx

2-RLO + 自解压

3-快捷方式lnk

4-邮件伪造

Swaks

Gophish

5-网站克隆

setoolkit

nginx反向代理

前端页面克隆

6-wifi钓鱼

7-其他

防御

溯源

反制

---

---

什么是网络钓鱼

网络钓鱼是通过伪造银行或其他知名机构向他人发送垃圾邮件，意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。

流程

寻找大鱼,打窝处 : hr,运维,开发人员,销售,等等窝点. 信息搜集,找对象.

制作饵料 : 看着像真的, 没有风险 等. 马子要强,内容要像.

抛竿,放长线 : 發发发. 社工.

--->等待大鱼上钩.

攻击手法

0-隐藏自己

cdn, 代理 转发,

购买 网络账号, 匿名

---

免杀马

ShellcodeLoader：GitHub - xf555er/ShellcodeLoader: This is my FirstRepository

基本加载器思路为shellcode申请内存(可读可写) -> 载入内存 -> 执行内存

改图标加签名.

360QVM_bypass (GitHub - Pizz33/360QVM_bypass: 通过生成不同hash的ico并写入程序中，实现批量bypass360QVM)的基础上，进行修改增加签名功能。360QVM_bypass-public (https://github.com/S9MF/my_script_tools/blob/main/360QVM_bypass-public/README.md)

过沙箱

延长马子的存活时间.

---

cs插件:

PushPlus2：my_script_tools/CS插件/README.md at main · S9MF/my_script_tools · GitHub

Aggressor Script：Aggressor Script

---

1-office宏

正常的office宏, 客户打开后都会看到 是否要启用宏, 这样的特征很明显.

那我们可以利用 文件分离 的方法.直接上线.(不用询问是否启用宏.)

Office--加载宏-CS上线_怎么修改启用宏的文档图标为正常图标 cs-CSDN博客

创建xxx.dotm

cs -- 生成 office宏 -- 复制

在桌面新建一个docx文档,点击开发工具 --> V B

在 ThisDocument 里黏贴 刚才复制的office宏.

点击保存 , 点击 否.

然后就另存为一个启用宏的模版. (.dotm)

将此文件放到服务器上,保证可以访问.

---

创建xxx.docx

然后再新建一个docx文档,

添加一个模版 , 随便写点内容...

另存为xxx.docx

然后将后缀改为zip,

打开,找到这个文件 -- 双击.

修改后面 target 的值 为你 服务器 上 xxx.dotm 文件的访问网址.

http://ip/xxx.dotm

修改完后,保存

再将zip后缀修改为docx,

得到 xxx.docx

---

开钓:

将此docx文档上传运行. (未做免杀)

---

2-RLO + 自解压

钓鱼隐藏--文件后缀&压缩文件&捆绑文件_rlo文件-CSDN博客

捆绑EXE

捆绑exe释放正常文件，无法打开 / 文件已损坏.

---

3-快捷方式lnk

快捷方式(lnk)--加载&HTA-CS上线_mshta 上线cs-CSDN博客

人家 制作 lnk 的思路:

【红队战法】多角度钓鱼

远程下载, 加载 内存, 上线.

---

4-邮件伪造

钓鱼邮件指利用伪装的电邮，欺骗收件人将账号、口令等信息回复给指定的接收者；或引导收件人连接到特制的网页，这些网页通常会伪装成和真实网站一样，如银行或理财的网页，令登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等而被盗取。

Swaks

SPF劫持上线.

邮件钓鱼--有无SPF演示--Swaks_kali伪造邮件-CSDN博客

Swaks是kali自带的一款邮件伪造工具，通过swaks可以向任意目标发送任意内容的邮件

swaks的用法：
--from <发件人的邮箱> 
--ehlo <伪造邮件头> 
--body <邮件正文内容> 
--header <邮件头信息，subject为邮件标题> 
--data <源邮件> 
--attach <附件文件>

---

Gophish

Gophish是一个开源的钓鱼工具包，自带web面板，对于邮件编辑、网站克隆、数据可视化、批量发送等功能的使用带来的极大的便捷。

邮件钓鱼--平台框架-优化内容效率-Gophish项目_gophish 发信任配置-CSDN博客

---

5-网站克隆

setoolkit

网页钓鱼-克隆修改--劫持口令&下载后门_口令劫持-CSDN博客

不仅可以记录用户提交的数据，还可以进行注入攻击

1) Social-Engineering Attacks【社工攻击(常用)】2) Penetration Testing (Fast-Track)【渗透测试（快速的）】3) Third Party Modules【第三方模块】4) Update the Social-Engineer Toolkit【更新社工工具包】5) Update SET configuration【升级配置】6) Help, Credits, and About【帮助】

---

nginx反向代理

---

前端页面克隆

右键另存为

定位元素属性等复制...

---

6-wifi钓鱼

开一个免费的wifi,诱使客户登录等,获取敏感信息.

7-其他

伪基站

又称假基站、假基地台，是一种利用GSM单向认证缺陷的非法无线电通信设备，主要由主机和笔记本电脑组成，能够搜取以其为中心、一定半径范围内的GSM移动电话信息，并任意冒用他人手机号码强行向用户手机发送诈骗、推销等垃圾短信，通常安放在汽车或者一个比较隐蔽的地方发送。

标签钓鱼

标签钓鱼(tabnabbing)是一种新的网络钓鱼攻击手法，该攻击手法是由Mozilla Firefox浏览器的界面及创意负责人Aza Raskin发现和命名的，tabnabbing可改变用户浏览网页的标签及接口，以诱导用户输入网络服务的账号与密码。

鱼叉式网络钓鱼

这是指一种源自于亚洲与东欧，只针对“特定的目标”进行的网络钓鱼攻击！简而言之就是组织一次有目性的，对特定的单位进行钓鱼攻击。

水坑攻击

”水坑攻击”，黑客攻击方式之一，顾名思义，是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是，黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”。

U盘钓鱼

简单来说，就是在U盘里面植入木马或者病毒，进行钓鱼上线。常见的攻击手法就是把U盘扔在目标单位门口，或者你可以社工员工地址信息并邮寄给他。亦或者，可以像某黑客电影或者黑客游戏一样，想办法进入对方大厦到工位电脑上插U盘上马。

Excel注入

Excel注入是一种将包含恶意命令的excel公式插入到可以导出csv或xls等格式的文本中，当在excel中打开xls文件时，文件会转换为excel格式并提供excel公式的执行功能，从而造成命令执行。

漏洞利用

CVE-2017-11882

...

---

防御

邮件钓鱼--前置-攻击&防范 7 看-CSDN博客

10 top anti-phishing tools and services | CSO Online

安全意识 识别 AV 设施

火绒剑 逆向分析 等等.

---

1. Avanan

Avanan为云托管电子邮件提供反钓鱼软件，通过API连接到企业的电子邮件提供商，使用历史邮件来训练其AI防护模型。

Anti-Phishing Software for Office 365, G Suite and More | Check Point

2. Barracuda Email Protection

Barracuda Email Protection也是一款利用邮件提供商API来防御网络钓鱼攻击和商业邮件入侵（BEC）的工具.

Email Security Services & Solutions | Barracuda Email Protection

3. BrandShield

BrandShield专注于防范网络钓鱼活动对企业品牌及高管声誉的损害，能够通过电子邮件、社交媒体或其他媒介识别利用企业品牌或高管名字的钓鱼攻击。BrandShield方案还能够监测互联网上是否存在盗用贵企业品牌的恶意网站，并监测亚马逊等市场上是否有公然销售的假冒产品。

https://www.brandshield.com/

4. Cofense PDR

Cofense PDR（网络钓鱼检测和响应）是一项托管式反网络钓鱼攻击服务，能够结合利用基于AI的工具和安全专家，帮助用户识别和应对当前发生的钓鱼攻击.

https://cofense.com/product-services/phishing-defense-services/

5. Outseer FraudAction

Outseer FraudAction的前身RSA FraudAction，它提供了一套功能非常全面的网络钓鱼防护解决方案。该方案是一种托管式的网络钓鱼防护服务，类似Cofense提供的服务。

Outseer FraudAction™ - Outseer

6. IRONSCALES

IRONSCALES是一个电子邮件安全平台，通过动态检测和分析来增强企业现有电子邮件系统的安全性，包括：阻止、标记或仅在可能的可疑邮件上添加横幅。

Email Security Software for the Enterprise & MSP | IRONSCALES

7. KnowBe4

KnowBe4的首席黑客官是黑客界大名鼎鼎的Kevin Mitnick。KnowBe4还提供PhishER，这是一个围绕钓鱼攻击的安全编排、自动化和响应（SOAR）平台，它使安全团队能够更高效地应对针对企业的电子邮件威胁。

https://www.knowbe4.com/

8. Mimecast

Mimecast提供了多种工具来防范钓鱼攻击，包括检测恶意链接和附件的功能，通过使用沙箱等高级方法删除或使其安全。

Advanced Email Security | Mimecast

9. Microsoft Defender for Office 365

Microsoft Defender for Office 365提供了与本清单中其他工具类似的功能：用户培训、钓鱼检测和防御、取证和根本原因分析，甚至是威胁狩猎。

Microsoft Defender for Office 365 | Microsoft Security

10. Valimail

Best-in-Class DMARC Solutions For Businesses | Valimail

Valimail非常适合预算有限的中小企业用户，其DMARC服务能够逐步引导用户为电子邮件域配置DMARC，然后汇总并生成每日DMARC报告。

---

终端侧防护

网络流量侧防护

其他: 密码,意识,限制,

---

溯源

看邮件原文

看发件人地址

---

对邮箱及域名进行查询

搜索引擎

威胁平台

WHOIS 查询域名注册相关信息

ICP备案

...

---

二维码

在线二维码解码器 二维码安全检测工具

二维码解析为网址, 然后继续操作就可.

---

文件类型

注意到底是不是图片 等等.

---

反制

利用蚁剑钓鱼上线CS

....

找到目标 -- 开搞 ...

---