歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

紅隊滲透測試技術:如何通過魚叉式網絡釣魚獲得攻擊機會?

來源:本站整理 作者:佚名 時間:2019-11-07 TAG: 我要投稿


關于紅隊在滲透測試中使用的網絡釣魚攻擊的文章很多,不過大多數的介紹都是不完整的。在本文中,我們將對這個話題進行一次完整的梳理,包括域創建,制作網絡釣魚內容,繞過垃圾郵件過濾器和電子郵件網關,生成不可檢測的有效載荷以及繞過Windows保護(例如AMSI)的注意事項。另外,我們還在這篇文章的末尾整理了一份參考文獻,如果你感興趣可以參考。
出于安全原因,滲透測試中的客戶名稱和相關信息已被匿名化。根據紅色團隊參與的復雜程度和持續時間,你需要衡量你在以下每個項目上花費了多少時間和精力。
1.郵件來源:
1.1 使用腳本從本地主機(例如你的筆記本電腦)發送郵件;
1.2 標頭中的IP是否可信;
2. 最近啟用的VPS,沒有發件人歷史記錄;
3. 發送域信譽(domain reputation)和域年齡(domain age)(從域創建到活動日期之間的時間)。
4. 鏈接信譽和域年齡;
5. 使用信譽較高的發件人,例如Mailchimp或Sendgrid。通過這些提供商驗證你的域,以便你可以向域“發件人:”發送電子郵件。
6. 匹配目標電子郵件的返回路徑;
7. 配置SPF,DKIM和DMARC;
8. 時間和頻率:
8.1 如果你一次從信譽低下的IP發送100封電子郵件,幾乎可以肯定會被標記為垃圾郵件。
8.2 發送域和電子郵件中的鏈接上的有效SSL證書;
9. 失效鏈接;
10. HTML內容的數量;
11. 不要進入黑名單;
具體的測試時間,取決于滲透測試的程度:
1. 如果你要克隆高信譽的域來進行憑據網絡釣魚,要注意防范自動掃描引擎,這一點尤其重要。
1.1 Web Scraper和安全電子郵件網關(SEG)正在積極尋找能復制Office 365和Gmail等網絡釣魚網頁的網站。Web Scraper是一款可以從網頁中提取數據的chrome網頁數據提取插件,是一款非常好用的爬蟲工具。
1.2 將良性內容提供給自動化平臺;
2. 你可以使用公共GreyNoise API中的WEB_CRAWLER標記找到網頁爬蟲列表;
3. curl -s -XPOST -d 'tag=WEB_CRAWLER' http://api.greynoise.io:8888/v1/query/tag;
4. 你還可以使用技術來識別模擬環境,如headless Chrome、Selenium等。
5. 在信譽較高的域或你自己的自定義域上托管惡意附件,SEG可以更好地捕獲惡意載荷,例如帶有宏的Word文檔。如果你的附件被捕獲,你可能會被列入黑名單。
6. 一旦你搞砸了一次,它就很難恢復和觸及用戶的收件箱。你可能需要停止整個滲透活動,然后重新開始。
7. 查看有關監視你的域和基礎結構的“Specter Ops”文章,以了解是否有受到攻擊的跡象。
8. 301/302重定向到信譽較高的域,你的域實際上未與重定向域關聯,因此可以將其歸為惡意域。
網絡釣魚活動的滲透測試
我們通常會以三種方式處理釣魚活動:
1.針對特定個人的攻擊活動;
2. 從偵察階段收集到的針對所有用戶的大規模攻擊,有很多很棒的資源可用于偵查和創建可定位的電子郵件地址列表,比如2019年的OSINT資源,The Harvester ,datasploit ,Github上的awesome-osint )
3.通過在目標公司網站上的表格提交信息,通常是通過偽造一個公司來進行;
每個攻擊活動使用不同的域,以免影響其他攻擊活動的信譽或攻擊能力。如果公司意識到他們是攻擊目標,那么你未來的嘗試可能會受到更嚴格的審查。在驗證我們的域并設置電子郵件身份驗證后,我們經常使用Mailchimp郵件系統進行郵件發送。我們還成功使用了G Suite帳戶和使用自定義腳本的SMTP身份驗證。
由于時間限制(20小時),我們只選擇了上面的第2和第3種方式。對于這兩個攻擊活動,我們都使用了帶有宏的word文檔。
攻擊示例
我們對目標公司的MX進行了查詢,發現他們正在使用G Suite,因此我們可以針對模擬的G Suite帳戶測試攻擊活動,以確保我們能夠通過他們的保護。
dig target.com MX
Google在過濾惡意附件方面做得不錯,因此在第一項活動中我們將其托管在信譽較高的域中,在第二項活動中我們將其托管在我們自己的域中。
如何生成Word文檔宏和有效載荷
在示例攻擊中,我們使用了帶有宏的惡意Word文檔。我們利用unicorn生成了一個powershell宏來下載/執行我們的有效載荷,并做了一個輕微的修改來繞過防御:
"po" & "w" & "er" & "s" & "he" & "l" & "l" & ".e" & "x" & "e" & " "
注:Unicorn 是一款非常優秀的跨平臺模擬執行框架,該框架可以跨平臺執行Arm, Arm64 (Armv8), M68K, Mips, Sparc, & X86 (include X86_64)等指令集的原生程序。
Unicorn 不僅僅是模擬器,更是一種“硬件級”調試器,使用Unicorn的API可以輕松控制CPU寄存器、內存等資源,調試或調用目標二進制代碼,現有的反調試手段對Unicorn 幾乎是無效的。
我們使用hershell作為有效載荷,這是一個用Go編寫的出色的輕量級階段 1,當時無法檢測到其x86拱門。如果你的有效載荷被標記,你可以選擇混淆和加密,如果你知道你的目標環境,也可以使用dsplit手動繞過安全防御簽名。你可以參考一些資源:
https://resources.infosecinstitute.com/antivirus-evasion-tools/
https://github.com/PowerShellMafia/PowerSploit/blob/master/AntivirusBypass/Find-AVSignature.ps1
http://obscuresecurity.blogspot.com/2012/12/finding-simple-av-signatures-with.html
Metasploit 5 最近也發布了內置的有效載荷加密和逃避的有效載荷,但是我們還沒有機會使用它們。Metasploit是一款開源的安全漏洞檢測工具,可以幫助安全和IT專業人士識別安全性問題,驗證漏洞的緩解措施,并管理專家驅動的安全性進行評估,提供真正的安全風險情報。這些功能包括智能開發,代碼審計,Web應用程序掃描,社會工程。
繞過AMSI
我們預計需要運行自定義的Powershell有效載荷,因此我們不得不繞過最近的Windows保護,稱為AMSI。根據Microsoft的說法,AMSI代表了殺毒軟件的掃描接口,并允許程序(如Powershell)在執行之前向掃描引擎提交內容。感謝Cyberark進行繞過AMSI的初步研究,并撰寫了Andre Marques的文章。我們能夠調整它們的實現,這些實現當時已被Microsoft標記出來,以使用XOR加密繞過AMSI。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.fhetww.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        江西十一选五走势图爱彩乐