Mbinu

1. Fanya uchunguzi wa mwathiriwa

2. Chagua kikoa cha mwathiriwa.

3. Fanya uchunguzi wa wavuti wa msingi ukitafuta malango ya kuingilia yanayotumiwa na mwathiriwa na amua ni lipi utakalolitumia kujifanya.

4. Tumia OSINT ku kupata barua pepe.

5. Andaa mazingira

6. Nunua kikoa utakachotumia kwa tathmini ya udukuzi wa phishing

7. Sanidi rekodi zinazohusiana na huduma ya barua pepe (SPF, DMARC, DKIM, rDNS)

8. Sanidi VPS na gophish

9. Andaa kampeni

10. Andaa templeti ya barua pepe

11. Andaa ukurasa wa wavuti wa kuiba maelezo ya kuingia

12. Anzisha kampeni!

Jenereta majina ya kikoa yanayofanana au nunua kikoa kilichoaminika

Mbinu za Kubadilisha Jina la Kikoa

• Neno muhimu: Jina la kikoa lina neno muhimu la kikoa cha asili (k.m., zelster.com-management.com).

• Subdomain yenye mstari wa kufungua: Badilisha dot kwa mstari wa kufungua wa subdomain (k.m., www-zelster.com).

• TLD Mpya: Kikoa sawa kwa kutumia TLD mpya (k.m., zelster.org)

• Homoglyph: Inabadilisha herufi katika jina la kikoa na herufi zinazofanana (k.m., zelfser.com).

• Kubadilishana: Inabadilisha herufi mbili ndani ya jina la kikoa (k.m., zelsetr.com).

• Kuongeza/kuondoa neno: Inaongeza au kuondoa "s" mwishoni mwa jina la kikoa (k.m., zeltsers.com).

• Ukosefu: Inaondoa moja ya herufi kutoka kwa jina la kikoa (k.m., zelser.com).

• Kurudia: Inarudia moja ya herufi katika jina la kikoa (k.m., zeltsser.com).

• Badala: Kama homoglyph lakini si ya siri. Inabadilisha moja ya herufi katika jina la kikoa, labda na herufi karibu na herufi ya asili kwenye kibodi (k.m, zektser.com).

• Subdomained: Ingiza dot ndani ya jina la kikoa (k.m., ze.lster.com).

• Kuingiza: Inaingiza herufi katika jina la kikoa (k.m., zerltser.com).

• Kupoteza dot: Ongeza TLD kwa jina la kikoa. (k.m., zelstercom.com)

Zana za Kiotomatiki

• dnstwist

• urlcrazy

Tovuti

• https://dnstwist.it/

• https://dnstwister.report/

• https://www.internetmarketingninjas.com/tools/free-tools/domain-typo-generator/

Bitflipping

Kuna uwezekano kwamba moja ya baadhi ya bits zilizohifadhiwa au katika mawasiliano inaweza kubadilishwa moja kwa moja kutokana na sababu mbalimbali kama miale ya jua, miale kutoka angani, au makosa ya vifaa.

Wakati dhana hii inapotumiwa kwa ombi za DNS, inawezekana kwamba kikoa kilichopokelewa na seva ya DNS sio sawa na kikoa kilichoulizwa awali.

Kwa mfano, mabadiliko ya bit moja katika kikoa "windows.com" yanaweza kubadilika kuwa "windnws.com."

Wadukuzi wanaweza kutumia hili kwa kusajili vikoa vingi vya bit-flipping ambavyo ni sawa na kikoa cha mwathiriwa. Nia yao ni kupeleka watumiaji halali kwenye miundombinu yao wenyewe.

Kwa habari zaidi soma https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/

Nunua kikoa kilichoaminika

Unaweza kutafuta kwenye https://www.expireddomains.net/ kwa kikoa kilichoisha muda ambacho unaweza kutumia. Ili kuhakikisha kwamba kikoa kilichoisha muda ambacho unakwenda kununua tayari kina SEO nzuri unaweza kutafuta jinsi kilivyoainishwa katika:

• http://www.fortiguard.com/webfilter

• https://urlfiltering.paloaltonetworks.com/query/

Kugundua Barua pepe

• https://github.com/laramies/theHarvester (100% bure)

• https://phonebook.cz/ (100% bure)

• https://maildb.io/

• https://hunter.io/

• https://anymailfinder.com/

Ili kugundua barua pepe halali zaidi au kuthibitisha zile ambazo tayari umegundua unaweza kuangalia kama unaweza kuzitumia kwa nguvu za smtp za mwathiriwa. Jifunze jinsi ya kuthibitisha/kugundua anwani ya barua pepe hapa. Zaidi ya hayo, usisahau kwamba ikiwa watumiaji wanatumia lango la wavuti kufikia barua zao, unaweza kuangalia ikiwa lina hatari ya kuvunjika kwa nguvu ya jina la mtumiaji, na kutumia udhaifu ikiwa inawezekana.

Kuweka GoPhish

Usanidi

Unaweza kuipakua kutoka https://github.com/gophish/gophish/releases/tag/v0.11.0

Pakua na usambaze ndani ya /opt/gophish na tekeleza /opt/gophish/gophish Utapewa nenosiri la mtumiaji wa admin kwenye bandari 3333 kwenye matokeo. Kwa hivyo, fikia bandari hiyo na tumia maelezo hayo kubadilisha nenosiri la admin. Unaweza kuhitaji kufanya pia bandari hiyo iweze kufikika kwa eneo lako:

ssh -L 3333:127.0.0.1:3333 <user>@<ip>

Configuration

Usanidi wa cheti cha TLS

Kabla ya hatua hii unapaswa tayari kununua kikoa utakachotumia na lazima kiwe kinazingatia kwenye IP ya VPS ambapo unasanidi gophish.

DOMAIN="<domain>"
wget https://dl.eff.org/certbot-auto
chmod +x certbot-auto
sudo apt install snapd
sudo snap install core
sudo snap refresh core
sudo apt-get remove certbot
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot
certbot certonly --standalone -d "$DOMAIN"
mkdir /opt/gophish/ssl_keys
cp "/etc/letsencrypt/live/$DOMAIN/privkey.pem" /opt/gophish/ssl_keys/key.pem
cp "/etc/letsencrypt/live/$DOMAIN/fullchain.pem" /opt/gophish/ssl_keys/key.crt​

Usanidi wa Barua pepe

Anza kwa kufunga: apt-get install postfix

Kisha ongeza kikoa kwenye faili zifuatazo:

• /etc/postfix/virtual_domains

• /etc/postfix/transport

• /etc/postfix/virtual_regexp

Badilisha pia thamani za variables zifuatazo ndani ya /etc/postfix/main.cf

myhostname = <kikoa> mydestination = $myhostname, <kikoa>, localhost.com, localhost

Hatimaye badilisha faili /etc/hostname na /etc/mailname kwa jina lako la kikoa na anzisha upya VPS yako.

Sasa, tengeneza rekodi ya DNS A ya mail.<kikoa> ikionyesha kwa anwani ya IP ya VPS na rekodi ya DNS MX ikionyesha kwa mail.<kikoa>

Sasa jaribu kutuma barua pepe:

apt install mailutils
echo "This is the body of the email" | mail -s "This is the subject line" test@email.com

Mipangilio ya Gophish

Acha utekelezaji wa gophish na tuwekeze mazingira yake. Badilisha /opt/gophish/config.json kuwa yafuatayo (zingatia matumizi ya https):

{
"admin_server": {
"listen_url": "127.0.0.1:3333",
"use_tls": true,
"cert_path": "gophish_admin.crt",
"key_path": "gophish_admin.key"
},
"phish_server": {
"listen_url": "0.0.0.0:443",
"use_tls": true,
"cert_path": "/opt/gophish/ssl_keys/key.crt",
"key_path": "/opt/gophish/ssl_keys/key.pem"
},
"db_name": "sqlite3",
"db_path": "gophish.db",
"migrations_prefix": "db/db_",
"contact_address": "",
"logging": {
"filename": "",
"level": ""
}
}

Sanidi huduma ya gophish

Ili kuunda huduma ya gophish ili iweze kuanza moja kwa moja na kusimamiwa kama huduma unaweza kuunda faili /etc/init.d/gophish na yaliyomo yafuatayo:

#!/bin/bash
# /etc/init.d/gophish
# initialization file for stop/start of gophish application server
#
# chkconfig: - 64 36
# description: stops/starts gophish application server
# processname:gophish
# config:/opt/gophish/config.json
# From https://github.com/gophish/gophish/issues/586

# define script variables

processName=Gophish
process=gophish
appDirectory=/opt/gophish
logfile=/var/log/gophish/gophish.log
errfile=/var/log/gophish/gophish.error

start() {
echo 'Starting '${processName}'...'
cd ${appDirectory}
nohup ./$process >>$logfile 2>>$errfile &
sleep 1
}

stop() {
echo 'Stopping '${processName}'...'
pid=$(/bin/pidof ${process})
kill ${pid}
sleep 1
}

status() {
pid=$(/bin/pidof ${process})
if [["$pid" != ""| "$pid" != "" ]]; then
echo ${processName}' is running...'
else
echo ${processName}' is not running...'
fi
}

case $1 in
start|stop|status) "$1" ;;
esac

Maliza kuwezesha huduma na uipime kwa kufanya:

mkdir /var/log/gophish
chmod +x /etc/init.d/gophish
update-rc.d gophish defaults
#Check the service
service gophish start
service gophish status
ss -l | grep "3333\|443"
service gophish stop

Kuweka mwenyeji wa barua pepe na kikoa

Subiri & kuwa halali

Kadri kikoa kinavyokuwa cha zamani, ndivyo inavyowezekana kidogo kugunduliwa kama barua taka. Kwa hivyo unapaswa kusubiri muda mrefu iwezekanavyo (angalau wiki 1) kabla ya tathmini ya udukuzi. Zaidi ya hayo, ikiwa unaweka ukurasa kuhusu sekta ya sifa, sifa iliyopatikana itakuwa bora.

Tambua kwamba hata kama unapaswa kusubiri wiki moja, unaweza kumaliza kuweka kila kitu sasa.

Weka Rekodi ya Reverse DNS (rDNS)

Wekeza rekodi ya rDNS (PTR) ambayo inatatua anwani ya IP ya VPS kwa jina la kikoa.

Rekodi ya Sera ya Mtumaji (SPF)

Unapaswa kuweka rekodi ya SPF kwa kikoa kipya. Ikiwa hujui ni nini rekodi ya SPF soma ukurasa huu.

Unaweza kutumia https://www.spfwizard.net/ kuzalisha sera yako ya SPF (tumia anwani ya IP ya mashine ya VPS)

Hii ndio yaliyomo yanayopaswa kuwekwa ndani ya rekodi ya TXT ndani ya kikoa:

v=spf1 mx a ip4:ip.ip.ip.ip ?all

Rekodi ya Domain-based Message Authentication, Reporting & Conformance (DMARC)

Unapaswa kuweka rekodi ya DMARC kwa kikoa kipya. Ikiwa hujui ni nini rekodi ya DMARC soma ukurasa huu.

Unapaswa kuunda rekodi mpya ya DNS TXT ikielekeza jina la mwenyeji _dmarc.<kikoa> na yaliyomo yafuatayo:

v=DMARC1; p=none

Barua pepe Zilizoidhinishwa za DomainKeys (DKIM)

Unapaswa kuwezesha DKIM kwa kikoa kipya. Ikiwa hujui ni nini rekodi ya DMARC soma ukurasa huu.

Mafunzo haya yanategemea: https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy

v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0wPibdqPtzYk81njjQCrChIcHzxOp8a1wjbsoNtka2X9QXCZs+iXkvw++QsWDtdYu3q0Ofnr0Yd/TmG/Y2bBGoEgeE+YTUG2aEgw8Xx42NLJq2D1pB2lRQPW4IxefROnXu5HfKSm7dyzML1gZ1U0pR5X4IZCH0wOPhIq326QjxJZm79E1nTh3xj" "Y9N/Dt3+fVnIbMupzXE216TdFuifKM6Tl6O/axNsbswMS1TH812euno8xRpsdXJzFlB9q3VbMkVWig4P538mHolGzudEBg563vv66U8D7uuzGYxYT4WS8NVm3QBMg0QKPWZaKp+bADLkOSB9J2nUpk4Aj9KB5swIDAQAB

Jaribu alama yako ya usanidi wa barua pepe

Unaweza kufanya hivyo kwa kutumia https://www.mail-tester.com/ Tu ufikie ukurasa na tuma barua pepe kwa anwani watakayokupa:

echo "This is the body of the email" | mail -s "This is the subject line" test-iimosa79z@srv1.mail-tester.com

Unaweza pia kuangalia usanidi wa barua pepe yako kwa kutuma barua pepe kwenda check-auth@verifier.port25.com na kusoma majibu (kwa hili utahitaji kufungua bandari 25 na kuona majibu kwenye faili /var/mail/root ikiwa utatuma barua pepe kama root). Hakikisha unapita vipimo vyote:

==========================================================
Summary of Results
==========================================================
SPF check:          pass
DomainKeys check:   neutral
DKIM check:         pass
Sender-ID check:    pass
SpamAssassin check: ham

Unaweza pia kutuma ujumbe kwa Gmail chini ya udhibiti wako, na angalia vichwa vya barua pepe kwenye sanduku lako la Gmail, dkim=pass inapaswa kuwepo katika uga wa kichwa cha barua pepe cha Authentication-Results.

Authentication-Results: mx.google.com;
spf=pass (google.com: domain of contact@example.com designates --- as permitted sender) smtp.mail=contact@example.com;
dkim=pass header.i=@example.com;

Kuondoa kutoka kwenye Orodha ya Spamhouse

Ukurasa www.mail-tester.com unaweza kukujulisha ikiwa kikoa chako kimezuiliwa na spamhouse. Unaweza kuomba kikoa/IP chako kuondolewa kwenye: https://www.spamhaus.org/lookup/

Kuondoa kutoka kwenye Orodha ya Microsoft

Unaweza kuomba kikoa/IP chako kuondolewa kwenye https://sender.office.com/.

Unda na Anzisha Kampeni ya GoPhish

Profaili ya Kutuma

• Weka jina la kutambua profaili ya mtumaji

• Amua kutoka kwenye akaunti gani utatuma barua pepe za udukuzi. Mapendekezo: noreply, support, servicedesk, salesforce...

• Unaweza kuacha bila kujaza jina la mtumiaji na nywila, lakini hakikisha kuchagua Ignore Certificate Errors

Kiolezo cha Barua pepe

• Weka jina la kutambua kwenye kiolezo

• Kisha andika mada (siyo kitu cha kushangaza, kitu unachoweza kutarajia kusoma kwenye barua pepe ya kawaida)

• Hakikisha umechagua "Ongeza Picha ya Kufuatilia"

• Andika kiolezo cha barua pepe (unaweza kutumia mabadiliko kama kwenye mfano ufuatao):

<html>
<head>
<title></title>
</head>
<body>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:&quot;Verdana&quot;,sans-serif;color:black">Dear {{.FirstName}} {{.LastName}},</span></p>
<br />
Note: We require all user to login an a very suspicios page before the end of the week, thanks!<br />
<br />
Regards,</span></p>

WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY

<p>{{.Tracker}}</p>
</body>
</html>

Tafadhali kumbuka kwamba ili kuongeza uaminifu wa barua pepe, ni vyema kutumia saini fulani kutoka kwa barua pepe ya mteja. Mapendekezo:

• Tuma barua pepe kwa anwani isiyopo na angalia kama jibu lina saini yoyote.

• Tafuta barua pepe za umma kama info@ex.com au press@ex.com au public@ex.com kisha watume barua pepe na subiri jibu.

• Jaribu kuwasiliana na baadhi ya barua pepe halali zilizogunduliwa kisha subiri jibu.

Ukurasa wa Kutua

• Andika jina

• Andika msimbo wa HTML wa ukurasa wa wavuti. Kumbuka unaweza kuagiza kurasa za wavuti.

• Weka alama Capture Submitted Data na Capture Passwords

• Weka urejeshaji

Watumiaji & Vikundi

• Weka jina

• Agiza data (kumbuka ili kutumia kiolezo kwa mfano unahitaji jina la kwanza, jina la mwisho na anwani ya barua pepe ya kila mtumiaji)

Kampeni

Hatimaye, tengeneza kampeni kwa kuchagua jina, kiolezo cha barua pepe, ukurasa wa kutua, URL, wasifu wa kutuma na kikundi. Kumbuka URL itakuwa kiungo kinachotumwa kwa waathiriwa

Kumbuka kwamba Wasifu wa Kutuma huruhusu kutuma barua pepe ya majaribio kuona jinsi barua pepe ya ujanja ya mwisho itakavyoonekana:

Baada ya kila kitu kuwa tayari, zindua kampeni!

Kujirudia wa Tovuti

Ikiwa kwa sababu yoyote unataka kujirudia tovuti angalia ukurasa ufuatao:

Nyaraka na Faili Zenye Backdoor

Katika tathmini za ujanja (hasa kwa Timu Nyekundu) unaweza pia kutuma faili zenye backdoor (labda C2 au kitu kitakachosababisha uwakilishi). Angalia ukurasa ufuatao kwa mifano:

Ujanja wa MFA

Kupitia Proxy MitM

Shambulio lililopita ni la busara kwani unafanya tovuti halisi na kukusanya habari iliyowekwa na mtumiaji. Kwa bahati mbaya, ikiwa mtumiaji hajaweka nenosiri sahihi au ikiwa programu uliyoiga imeundwa na 2FA, habari hii haitakuruhusu kujifanya kuwa mtumiaji aliyechezwa.

Hapo ndipo zana kama evilginx2, CredSniper na muraena zinavyofaa. Zana hizi zitaruhusu kuzalisha shambulio kama MitM. Kimsingi, mashambulio hufanya kazi kama ifuatavyo:

1. Wewe unajifanya kuwa fomu ya kuingia kwenye wavuti halisi.

2. Mtumiaji anatuma maelezo yake ya kitambulisho kwenye ukurasa wako bandia na zana hiyo inayatuma kwenye wavuti halisi, ikiangalia ikiwa kitambulisho kinafanya kazi.

3. Ikiwa akaunti imeundwa na 2FA, ukurasa wa MitM utauliza hilo na mara tu mtumiaji atakapoingiza litatuma kwenye wavuti halisi.

4. Mara tu mtumiaji amethibitishwa wewe (kama mshambuliaji) utakuwa umekamata kitambulisho, 2FA, kuki na habari yoyote ya kila mwingiliano wako wakati zana inatekeleza MitM.

Kupitia VNC

Kipi kama badala ya kutuma mhanga kwenye ukurasa mbaya unaofanana na wa awali, unampeleka kwenye kikao cha VNC na kivinjari kilichounganishwa na wavuti halisi? Utaweza kuona anachofanya, kuiba nenosiri, MFA iliyotumiwa, vidakuzi... Unaweza kufanya hivi na EvilnVNC

Kugundua Uchunguzi

Kwa dhahiri moja ya njia bora ya kujua ikiwa umegunduliwa ni kutafuta kikoa chako kwenye orodha nyeusi. Ikiwa inaonekana kwenye orodha, kwa njia fulani kikoa chako kiligunduliwa kuwa shuki. Njia rahisi ya kuangalia ikiwa kikoa chako kinaonekana kwenye orodha yoyote nyeusi ni kutumia https://malwareworld.com/

Hata hivyo, kuna njia nyingine za kujua ikiwa muathiriwa anaangalia kwa uangalifu shughuli za ujanja wa shaka kama ilivyoelezwa katika:

Unaweza kununua kikoa chenye jina linalofanana sana na kikoa cha muathiriwa na/au kuzalisha cheti kwa subdomain ya kikoa kinachodhibitiwa na wewe kikiwa na neno muhimu la kikoa cha muathiriwa. Ikiwa muathiriwa atafanya aina yoyote ya mwingiliano wa DNS au HTTP nao, utajua kuwa anaangalia kwa makini vikoa vya shaka na utahitaji kuwa na siri sana.

Tathmini Ujanja

Tumia Phishious kutathmini ikiwa barua pepe yako itamalizikia kwenye folda ya taka au ikiwa itazuiliwa au itafanikiwa.

Marejeo

• https://zeltser.com/domain-name-variations-in-phishing/

• https://0xpatrik.com/phishing-domains/

• https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/

• https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy