Wir haben Phishing-Angriffe, ihre Funktionsweise, die Komponenten einer Phishing-E-Mail, Komponenten der Phishing-Infrastruktur, Phishing-Bewertungstools wie Gophish und SET und die Frage behandelt, wie man sich vor Phishing-Angriffen schützen kann. In diesem Video wurde das Labormaterial von TryHackMe-Raum mit dem Namen Phishing und Teil der Strecke des roten Teams.
Wir haben auch praktische Szenarien zur Analyse von Phishing-E-Mails mit PhishTool und Any.run behandelt. Im ersten Szenario analysierten wir eine E-Mail, die vorgab, von Netflix zu stammen, und die anderen beiden Szenarien enthielten bösartige Anhänge, die Anrufe an bösartige Server und DNS-Namen durchführten. Dies war Teil von TryHackMe Phishing-Analyse-Tools.
Wir haben auch ein praktisches Szenario zur Analyse von E-Mail-Phishing mit Thunderbird durchgespielt. Wir haben bestimmte Bereiche zur Analyse hervorgehoben, wie die Absender-E-Mail, den Rückweg, die Absenderdomäne, SPF-Einträge, die ursprüngliche IP-Adresse und den E-Mail-Anhang. Wir haben festgestellt, dass der E-Mail-Anhang bösartig ist, indem wir ihn mit VirusTotal analysiert haben. Darüber hinaus enthielt die E-Mail Grammatikfehler und war an einen allgemeinen Empfänger gerichtet. Das war Teil von TryHackMe Greenholt Phish.
Holen Sie sich Hinweise zum OSCP-Zertifikat
Der komplette praktische Kurs zum Penetrationstest von Webanwendungen
Video-Highlights
Phishing ist eine Form des Social Engineering, die per E-Mail gesendet wird, um jemanden dazu zu bringen, persönliche Informationen oder Anmeldeinformationen preiszugeben oder sogar Schadcode auf seinem Computer auszuführen. Diese E-Mails scheinen normalerweise von einer vertrauenswürdigen Quelle zu stammen, sei es eine Person oder ein Unternehmen. Sie enthalten Inhalte, die Menschen dazu verleiten oder dazu verleiten sollen, Software herunterzuladen, Anhänge zu öffnen oder Links zu einer gefälschten Website zu folgen.
Bei Phishing-E-Mails müssen wir auf drei Dinge achten: die E-Mail-Adresse des Absenders, den Betreff und den Inhalt.
Verschiedene Typen bösartiger E-Mails können wie folgt klassifiziert werden:
- Spam – unerwünschte Junk-E-Mails, die in großen Mengen an eine große Anzahl von Empfängern gesendet werden. Die bösartigere Variante von Spam ist bekannt als MalSpam.
- Phishing – An ein oder mehrere Ziele gesendete E-Mails, die vorgeben, von einer vertrauenswürdigen Entität zu stammen, um Einzelpersonen dazu zu verleiten, vertrauliche Informationen preiszugeben.
- Speerfischen – geht beim Phishing noch einen Schritt weiter, indem es gezielt auf eine oder mehrere bestimmte Personen oder Organisationen abzielt und nach vertraulichen Informationen sucht.
- Walfang – ähnelt Spear-Phishing, zielt jedoch speziell auf hochrangige Personen auf C-Level-Ebene (CEO, CFO usw.) ab und hat dasselbe Ziel.
- Smishing – bringt Phishing auf Mobilgeräte, indem es gezielt Mobilnutzer mit speziell gestalteten Textnachrichten anspricht.
- Vishing – ähnelt Smishing, allerdings werden für den Social-Engineering-Angriff keine Textnachrichten, sondern Sprachanrufe verwendet.
Beim Phishing ist die Vorgehensweise je nach Ziel der E-Mail in der Regel dieselbe.
Das Ziel kann beispielsweise darin bestehen, Anmeldeinformationen abzugreifen, ein anderes darin, Zugriff auf den Computer zu erhalten.
Nachfolgend sind die typischen Merkmale aufgeführt, die Phishing-E-Mails gemeinsam haben:
- Der E-Mail-Name/Adresse des Absenders wird sich als vertrauenswürdige Entität ausgeben (E-Mail-Spoofing)
- Die Betreffzeile und/oder der Text der E-Mail werden mit einem Gefühl der Dringlichkeit oder verwendet bestimmte Schlüsselwörter wie Rechnung, Ausgesetzt, usw.
- Der E-Mail-Text (HTML) ist so gestaltet, dass er mit einer vertrauenswürdigen Entität (wie Amazon) übereinstimmt.
- Der E-Mail-Text (HTML) ist schlecht formatiert oder geschrieben (im Gegensatz zum vorherigen Punkt)
- Der E-Mail-Text verwendet allgemeinen Inhalt, z. B. „Sehr geehrte Damen und Herren“.
- Hyperlinks (nutzt häufig URL-Kürzungsdienste, um seinen wahren Ursprung zu verbergen)
- A bösartiger Anhang als legitimes Dokument ausgeben
GoPhish – (Open-Source Phishing Rahmen) – www.getgophish.com
GoPhish ist ein webbasiertes Framework, das das Einrichten von Phishing-Kampagnen vereinfacht. Mit GoPhish können Sie Ihre SMTP Servereinstellungen zum Senden von E-Mails, verfügt über ein webbasiertes Tool zum Erstellen von E-Mail-Vorlagen mit einem einfachen WYSIWYG-Editor (What You See Is What You Get). Sie können auch planen, wann E-Mails gesendet werden, und verfügen über ein Analyse-Dashboard, das anzeigt, wie viele E-Mails gesendet, geöffnet oder angeklickt wurden.
SET – (Social Engineering Toolkit) – vertrauenswürdigsec.com
Das Social Engineering Toolkit enthält eine Vielzahl von Tools, aber einige der wichtigsten für Phishing sind die Fähigkeit, Speerfischen Angriffe und Bereitstellung gefälschter Versionen gängiger Websites, um die Opfer zur Eingabe ihrer Anmeldeinformationen zu verleiten.
Dropper sind Software, die Phishing-Opfer oft dazu verleitet werden, herunterzuladen und auf ihrem System auszuführen. Der Dropper kann sich als etwas Nützliches oder Legitimes ausgeben, beispielsweise als Codec zum Anzeigen eines bestimmten Videos oder als Software zum Öffnen einer bestimmten Datei.
Die Dropper selbst sind normalerweise nicht bösartig und bestehen daher die Antivirenprüfungen in der Regel. Nach der Installation wird die beabsichtigte Malware entweder entpackt oder von einem Server heruntergeladen und auf dem Computer des Opfers installiert. Die Schadsoftware stellt normalerweise eine Verbindung zur Infrastruktur des Angreifers her. Der Angreifer kann die Kontrolle über den Computer des Opfers übernehmen und das lokale Netzwerk weiter erkunden und ausnutzen.
Die Wahl des richtigen Phishing Die richtige Domain für Ihren Angriff ist entscheidend, um sicherzustellen, dass Sie Ihrem Ziel gegenüber psychologisch im Vorteil sind. Bei einem Red Team-Einsatz können einige der folgenden Methoden zur Auswahl des perfekten Domainnamens verwendet werden.
Abgelaufene Domains:
Obwohl es nicht unbedingt erforderlich ist, kann der Kauf eines Domänennamens mit einer gewissen Historie zu einer besseren Bewertung Ihrer Domäne bei Spamfiltern führen. Spamfilter neigen dazu, brandneuen Domänennamen weniger zu vertrauen als solchen mit einer gewissen Historie.
Typosquatting:
Typosquatting liegt vor, wenn eine registrierte Domain der Zieldomain, die Sie imitieren möchten, sehr ähnlich sieht. Hier sind einige der gängigen Methoden:
Rechtschreibfehler: goggle.com vs. google.com
Verlängerungszeitraum: go.ogle.com vs. google.com
Zahlen gegen Buchstaben tauschen: g00gle.com vs. google.com
Formulierung: googles.com vs. google.com
Zusätzliches Wort: googleresults.com Vs google.com
Diese Änderungen erscheinen möglicherweise unrealistisch, aber auf den ersten Blick neigt das menschliche Gehirn dazu, die Lücken zu füllen und das zu sehen, was es sehen möchte, nämlich den richtigen Domänennamen.
Raumantworten | TryHackMe Phishing
An welcher Art von Phishing-Kampagnen beteiligen sich Red Teams?
Was sollte an einem HTML-Ankertag geändert werden, um einen Link zu verschleiern?
Welches Protokoll verfügt über TXT-Einträge, die die Zustellbarkeit von E-Mails verbessern können?
Welches Tool kann eine Phishing-Kampagne automatisieren und Analysen einbinden?
Wie nennt man die Registrierung eines ähnlichen Domänennamens mit einem Rechtschreibfehler?
Raumantworten | TryHackMe Phishing-Analysegrundlagen
Welcher Port wird als sicherer Transport für IMAP klassifiziert?
Welcher Port wird als sicherer Transport für POP3 klassifiziert?
Welcher E-Mail-Header ist dasselbe wie „Antwort an“?
Wenn Sie die IP-Adresse des E-Mail-Absenders gefunden haben, wo können Sie weitere Informationen zur IP abrufen?
Wie lautet der Name des PDF-Anhangs in den obigen Screenshots?
Zeigen Sie in der angeschlossenen virtuellen Maschine die Informationen in email2.txt an und rekonstruieren Sie das PDF mithilfe der Base64-Daten. Was ist der Text im PDF?
Als welche vertrauenswürdige Entität wird in dieser E-Mail getarnt?
Wie lautet die E-Mail des Absenders?
Was ist die Betreffzeile?
Wofür ist der URL-Link - KLICKEN SIE HIER? (Geben Sie die entschärfte URL ein)
Antworten im Raum | TryHackMe Phishing-Analysetools
Wie lautet der offizielle Site-Name der Bank, der capitai-one.com ähneln sollte?
Welche Marke sollte durch diese E-Mail imitiert werden?
Was ist die Absender-E-Mail-Adresse?
Welcher Bereich könnte Ihrer Meinung nach von Interesse sein? Entschärfen Sie den Bereich.
Was ist die verkürzte URL? Entschärfen Sie die URL.
Wie heißt die PDF-Datei?
Was ist der SHA-256-Hash für die PDF-Datei?
Welche zwei IP-Adressen werden als bösartig eingestuft? Entschärfen Sie die IP-Adressen. (Antwort: IP_ADDR,IP_ADDR)
Welcher Windows-Prozess wurde markiert als Potenziell schlechter Verkehr?
Wie lautet der Name der Excel-Datei?
Was ist der SHA-256-Hash für die Datei?
Welche Domänen werden als bösartig eingestuft? Entschärfen Sie die URLs und senden Sie die Antworten in alphabetischer Reihenfolge. (Antwort: URL1, URL2, URL3)
Welche IP-Adressen werden als bösartig eingestuft? Entschärfen Sie die IP-Adressen und senden Sie Antworten in absteigender Reihenfolge. (Antwort: IP1, IP2, IP3)
Welche Schwachstelle versucht dieser bösartige Anhang auszunutzen?
Raumantworten | TryHackMe Phishing-E-Mails in Aktion
Raumantworten | TryHackMe Phishing-Prävention
Verweisen auf die dmarcian SPF-Syntaxtabelle, welches Präfixzeichen kann dem „All“-Mechanismus hinzugefügt werden, um ein „Softfail“-Ergebnis sicherzustellen?
~
Was ist die Bedeutung des -alle Etikett?
Mit welchem Wireshark-Filter können Sie die Paketausgabe mithilfe von SMTP-Statuscodes eingrenzen?
Richtige Antwort: smtp.response.code
Was war laut Netzwerkverkehr die Meldung für den Statuscode 220? (Fügen Sie den Statuscode (220) nicht in die Antwort ein.)
Korrekte Antwort: dienstbereit
Ein Paket zeigt eine Antwort, dass eine E-Mail mit spamhaus.org blockiert wurde. Wie lauteten die Paketnummer und der Statuscode? (keine Leerzeichen in Ihrer Antwort)
Richtige Antwort: 156.553
Was war basierend auf dem Paket aus der vorherigen Frage die Nachricht bezüglich des Postfachs?
Richtige Antwort: Postfachname nicht zulässig
Welcher Statuscode geht normalerweise einem SMTP-DATA-Befehl voraus?
Richtige Antwort: 354
Welchen Port verwendet der SMTP-Verkehr?
Richtige Antwort: 25
Wie viele Pakete sind speziell SMTP?
Richtige Antwort: 512
Was ist die Quell-IP-Adresse für den gesamten SMTP-Verkehr?
Richtige Antwort: 10.12.19.101
Wie lautet der Dateiname des dritten Dateianhangs?
Richtige Antwort: attachment.scr
Wie wäre es mit dem letzten Dateianhang?
Richtige Antwort: .zip
Welche Software ist laut MITRE ATT&CK mit der Verwendung von SMTP und POP3 für C2-Kommunikation verbunden?
Richtige Antwort: Zebrocy
Raumantworten | TryHackMe Phishing-Prävention
Von wem ist die E-Mail?
Wie lautet seine E-Mail-Adresse?
Was ist die ursprüngliche IP?
Wer ist der Eigentümer der ursprünglichen IP? (Fügen Sie in Ihrer Antwort keinen „.“ ein.)
Was ist der SPF-Eintrag für die Return-Path-Domäne?
Was ist der DMARC-Eintrag für die Return-Path-Domäne?
Wie lautet der Name des Anhangs?
Was ist der SHA256-Hash des Dateianhangs?
Wie groß ist die Dateigröße der Anhänge? (Vergessen Sie nicht, Ihrer Antwort „KB“ hinzuzufügen. Anzahl KB)
Was ist die tatsächliche Dateierweiterung des Anhangs?