这次不讲操作只讨论思路,准确来说是讨论针对企业内网的邮件钓鱼。内网环境里常规的伪造邮件不可行,只能通过其他方法进行操作,思路不一定是以远控主机为目的,重要的是以企业的演练目的为准,跳出常规的"红蓝队"思路。

0x01 内网钓鱼的难点

以自己实际的"红蓝队"经验为例子,列举出内外网的区别

外网邮箱:

  1. 购买和目标类似的邮箱域名,搭建邮箱服务,可利用现有的zoho服务
  2. 尽可能收集企业员工邮箱的信息,针对不同的邮箱编写对应主题的邮件内容
  3. 制作木马文件,进行免杀和伪装
  4. 发送邮件等待受害者点击

内网邮箱:

  1. 企业内部各个板块和部门之间存在垃圾邮件网关,常规伪造工具制作的邮件直接进行拦截
  2. 企业内部自建邮箱,无法通过Gofish进行伪造,有账号和密码都不行(不是常规的smtp)
  3. 企业采购不同的杀软和不同平台的安全设备(IPS、FW、WAF),免杀和伪装难度高
  4. 企业往往希望制作的木马完全无害,具有可控性
  5. 最重要的一点,企业往往只是关心员工的行为,是否下载并点击恶意文件,是否未检查URL并提交铭感信息,并不关心你远控了几台机器,拿到了什么权限。

0x02 解决办法

所有的工作都以企业最终的目的服务,一些前期工作就比较简单了
针对邮箱难伪造的问题,可以提前与企业管理员进行沟通,让其提供正常的企业邮箱进行发送。是的,企业直接提供。
针对免杀和可控性,这里提供两个简单的思路:

需要企业提前提供一台内部服务器,所有板块和单位都能正常访问该服务器,开启一个简易的WEB服务(能记录访问日志即可),以python为例:nohup python3 -u -m http.server 80 & > log.log

  1. 附件形式
    制作简易EXE,打开EXE会调用系统curl访问内部服务器的80端口,并在URL上带上自己电脑的IP、MAC、计算机名等信息,类似curl http://192.168.1.2/IP/MAC/NAME
    注意:1⃣️:EXE可能需要提前加签名2⃣️:Win10及以后的系统自带Curl
  2. URL形式
    复制企业内部的ERP或者其他系统的登录页面源码,修改提交框的代码,将提交框的代码修改为点击后访问http://192.168.1.2/IP/MAC/NAME,同时跳转至真正的系统

由于企业内部都是严格控制IP地址分配,之后通过内部服务器日志就可以统计到何时何人点击过恶意软件或通过URL提交过铭感信息。

0x03 统计报告

有了数据之后就可以进行统计和分析,主要从钓鱼成功率和员工意识进行分析。