前言
在攻防演练中,钓鱼是一种常见的手段。随着攻防演练的常态化,我们认为将演练与安全意识培训结合的方式是较为理想的。下文将探讨在钓鱼演练中遇到的问题与思考,并结合开源软件整理出“利用开源软件进行甲方钓鱼演练”的方法。演练的最终目的是提升员工的安全意识,并为公司或部门级别的安全意识培训提供连贯性的学习材料,加深员工对安全问题的印象。
注意: 文中所述内容仅供学习参考研究,严禁用于违法乱纪之事,否则后果自负。
规划演练
钓鱼方式的选择
-
凭证类钓鱼方式的选择
- 通过钓鱼获取账号凭证。确定所需的登录权限,确保钓到的账号密码外网可用,模拟外部攻击场景。
- 利用甲方优势,知道资产中账号关联哪些敏感重要系统和信息,以及账号二次认证策略等内部信息。
- 检测员工是否有意识将钓鱼邮件事件通过正确渠道反馈给安全部门。
-
木马钓鱼方式与凭证类钓鱼的区别
- 木马钓鱼旨在获取个人电脑信息和建立据点,对抗防守方的发现与处置能力,较少用于日常演练。
- 木马钓鱼更接近红蓝对抗场景,对用户的侵入性较大,不适合大面积演练使用。
实施钓鱼阶段步骤
话术与剧本
- 禁止损害国家、个人利益,内容不涉及政治、疫情、舆情、绯闻。
- 选择合理的角色,如HR、行政、企业IT,与每一名员工有工作交集。
- 事件遵循合理性,如员工收到通知邮件的惯性。
- 驱动受害者执行预期动作,如点击登录页面、输入账号密码。
选择钓鱼页面的原则
- 选择有价值的账号登录页面,明确登录后的用途。
- 考虑登录页面在话术上的合理性,确保剧本与登录页面匹配。
克隆钓鱼页面制作完成
- 使用“SiteCopy”克隆内网服务页面,部署至国外VPS。
- 使用“Pricking”代理外网服务页面,但需处理浏览器弹窗提示。
- 部署至VPS的宝塔面板,配置HTTPS和域名绑定。
- 最小权限原则,按需开启服务,避免安全问题。
跳转的技巧
- 利用nginx代理原理,合理提示后跳转至论坛或wiki页面。
- 自定义弹窗样式,模拟弹窗功能。
域名的准备
- 使用国外域名,避免备案问题。
- 使用子域名混淆,避免被快速溯源。
- 测试域名是否会被浏览器识别为钓鱼页面。
获取钓鱼页面中的账号密码
- 确认用户密码的准确性,最好调用sso接口验证。
- 如无sso,可在fake页面中使用md5加密密码。
批量发送邮件
- 使用Outlook邮箱,利用其垃圾过滤机制。
- 使用163邮箱,注意SMTP认证和发送数量限制。
- 采用密送方式发送,避免收件人查看其他收件人。
- 测试全流程,确保无误后进行演练。
总结
通过结合开源软件,我们可以有效地进行甲方钓鱼演练,提升员工的安全意识,并为安全培训提供有价值的材料。同时,我们必须遵守法律法规,确保演练的合法性和安全性。