• 企业安全 | 企业内一次钓鱼演练准备过程


    前言

    目前随着企业的安全意识加强,传统的外部踩点攻击的方式越来越困难。所以更多的攻击者将精力放到了社工上。社工的一个重要途径就是邮件钓鱼和即时通信钓鱼。为了提高企业的安全性,公司内组织了一次钓鱼演练,本篇文章就来看看整个钓鱼演练的过程。

    1720598443_668e3fab5fa0ccd0c5352.png!small?1720598443978

    由于本人水平有限,文章中可能会出现一些错误,欢迎各位大佬指正,感激不尽。如果有什么好的想法也欢迎交流~~

    钓鱼的常见形式

    1)构造钓鱼页面引诱受害者点击,获取目标账号密码(如邮箱账号,域账号等等),或者利用浏览器漏洞直接获取权限。该种方式主要发送链接,二维码,文本等引诱受害者打开网站输入相关的信息。

    2)发送带有恶意附件的邮件,引诱受害者运行,直接获取受害者主机的权限。该种方式可以利用已知的漏洞或者恶意的木马。

    钓鱼准备

    1.SMTP服务的搭建

    我们要发送钓鱼邮件,首先需要搭建一个邮箱服务器,用来发送邮件。

    postfix就是一个常用的邮箱服务器,我们可以下面的命令搭建postfix邮箱服务器。

    yum install postfix

    开启了25端口,证明postfix安装成功

    1720598474_668e3fcab7160ba9b5f4b.png!small?1720598475939

    可以使用mail命令验证是否可以正常发送邮件(注意很多的云上服务器限制了外发邮件,因此如果不能发送成功,要联系云厂商开启相关的权限)

    1720598478_668e3fcee49d411362975.png!small?1720598480283

    搭建好邮箱服务器并且可以正常发送邮件以后,我们往往需要伪造公司内部的邮件进行发送邮件,那么发件人就需要不能让别人一眼看出来是伪造的,一般可以通过下面的三种方式解决。

    1)邮箱伪造

    先来看一下邮箱伪造的原理:

    邮件服务商之间转发邮件是不需要认证的,这是SMTP协议本身定义的。也就说MTA到MTA之间转发邮件是不需要认证的。我们平常必须登录才能发送邮件(一般用的发邮件工具称作MUA,比如foxmail等),这是因为邮件服务商人为要求的,这不是SMTP协议本身要求的,SMTP协议本身是不需要身份认证的。通过这种方式我们就可以伪造任意的发件人邮箱。如下图:

    1720598487_668e3fd7728afcd9ba6a4.png!small?1720598488114

    由于企业安全水平的提高,对于邮箱伪造这种问题,都做了限制,国内最常用的方式就是SPF。伪造者虽然能伪造你的域名,但是却不能控制你的域名的DNS解析记录。因为只有拥有域名账户权限,才能更改解析记录。你域名解析到的ip是1.1.1.1,而伪造者的ip

  • 相关阅读:
    云原生周刊:KubeSphere 宣布开源 Thanos 的企业级发行版 Whizard
    云盘行业的“冰与火”
    【nlp】2.5(gpu version)人名分类器实战项目(对比RNN、LSTM、GRU模型)工程管理方式
    python-泛型实现,类型检查
    php框架MVC类代码审计
    C/C++程序的断点调试
    .NET Flee 字符串表达式动态解析,怎么性能优化!!
    字节跳动面试真题-最长回文子串
    2023最新性能测试八股文【附答案】,软测人必备!
    STM32——NVIC中断优先级管理分析
  • 原文地址:https://www.freebuf.com/articles/es/405657.html