Wir haben Phishing-Angriffe, ihre Funktionsweise, die Komponenten einer Phishing-E-Mail, Komponenten der Phishing-Infrastruktur, Phishing-Bewertungstools wie Gophish und SET und die Frage behandelt, wie man sich vor Phishing-Angriffen schützen kann. In diesem Video wurde das Labormaterial von TryHackMe-Raum mit dem Namen Phishing und Teil der Strecke des roten Teams.

Wir haben auch praktische Szenarien zur Analyse von Phishing-E-Mails mit PhishTool und Any.run behandelt. Im ersten Szenario analysierten wir eine E-Mail, die vorgab, von Netflix zu stammen, und die anderen beiden Szenarien enthielten bösartige Anhänge, die Anrufe an bösartige Server und DNS-Namen durchführten. Dies war Teil von TryHackMe Phishing-Analyse-Tools.

Wir haben auch ein praktisches Szenario zur Analyse von E-Mail-Phishing mit Thunderbird durchgespielt. Wir haben bestimmte Bereiche zur Analyse hervorgehoben, wie die Absender-E-Mail, den Rückweg, die Absenderdomäne, SPF-Einträge, die ursprüngliche IP-Adresse und den E-Mail-Anhang. Wir haben festgestellt, dass der E-Mail-Anhang bösartig ist, indem wir ihn mit VirusTotal analysiert haben. Darüber hinaus enthielt die E-Mail Grammatikfehler und war an einen allgemeinen Empfänger gerichtet. Das war Teil von TryHackMe Greenholt Phish.

Holen Sie sich Hinweise zum OSCP-Zertifikat

Der komplette praktische Kurs zum Penetrationstest von Webanwendungen

Video-Highlights

Phishing ist eine Form des Social Engineering, die per E-Mail gesendet wird, um jemanden dazu zu bringen, persönliche Informationen oder Anmeldeinformationen preiszugeben oder sogar Schadcode auf seinem Computer auszuführen. Diese E-Mails scheinen normalerweise von einer vertrauenswürdigen Quelle zu stammen, sei es eine Person oder ein Unternehmen. Sie enthalten Inhalte, die Menschen dazu verleiten oder dazu verleiten sollen, Software herunterzuladen, Anhänge zu öffnen oder Links zu einer gefälschten Website zu folgen.

Bei Phishing-E-Mails müssen wir auf drei Dinge achten: die E-Mail-Adresse des Absenders, den Betreff und den Inhalt.

Verschiedene Typen bösartiger E-Mails können wie folgt klassifiziert werden:

  • Spam – unerwünschte Junk-E-Mails, die in großen Mengen an eine große Anzahl von Empfängern gesendet werden. Die bösartigere Variante von Spam ist bekannt als MalSpam.
  • Phishing –  An ein oder mehrere Ziele gesendete E-Mails, die vorgeben, von einer vertrauenswürdigen Entität zu stammen, um Einzelpersonen dazu zu verleiten, vertrauliche Informationen preiszugeben.
  • Speerfischen – geht beim Phishing noch einen Schritt weiter, indem es gezielt auf eine oder mehrere bestimmte Personen oder Organisationen abzielt und nach vertraulichen Informationen sucht.  
  • Walfang – ähnelt Spear-Phishing, zielt jedoch speziell auf hochrangige Personen auf C-Level-Ebene (CEO, CFO usw.) ab und hat dasselbe Ziel.
  • Smishing – bringt Phishing auf Mobilgeräte, indem es gezielt Mobilnutzer mit speziell gestalteten Textnachrichten anspricht.
  • Vishing – ähnelt Smishing, allerdings werden für den Social-Engineering-Angriff keine Textnachrichten, sondern Sprachanrufe verwendet.

Beim Phishing ist die Vorgehensweise je nach Ziel der E-Mail in der Regel dieselbe.

Das Ziel kann beispielsweise darin bestehen, Anmeldeinformationen abzugreifen, ein anderes darin, Zugriff auf den Computer zu erhalten.

Nachfolgend sind die typischen Merkmale aufgeführt, die Phishing-E-Mails gemeinsam haben:

  • Der E-Mail-Name/Adresse des Absenders wird sich als vertrauenswürdige Entität ausgeben (E-Mail-Spoofing)
  • Die Betreffzeile und/oder der Text der E-Mail werden mit einem Gefühl der Dringlichkeit oder verwendet bestimmte Schlüsselwörter wie RechnungAusgesetzt, usw.
  • Der E-Mail-Text (HTML) ist so gestaltet, dass er mit einer vertrauenswürdigen Entität (wie Amazon) übereinstimmt.
  • Der E-Mail-Text (HTML) ist schlecht formatiert oder geschrieben (im Gegensatz zum vorherigen Punkt)
  • Der E-Mail-Text verwendet allgemeinen Inhalt, z. B. „Sehr geehrte Damen und Herren“.
  • Hyperlinks (nutzt häufig URL-Kürzungsdienste, um seinen wahren Ursprung zu verbergen)
  • bösartiger Anhang als legitimes Dokument ausgeben

GoPhish – (Open-Source Phishing Rahmen) – www.getgophish.com

GoPhish ist ein webbasiertes Framework, das das Einrichten von Phishing-Kampagnen vereinfacht. Mit GoPhish können Sie Ihre SMTP Servereinstellungen zum Senden von E-Mails, verfügt über ein webbasiertes Tool zum Erstellen von E-Mail-Vorlagen mit einem einfachen WYSIWYG-Editor (What You See Is What You Get). Sie können auch planen, wann E-Mails gesendet werden, und verfügen über ein Analyse-Dashboard, das anzeigt, wie viele E-Mails gesendet, geöffnet oder angeklickt wurden.

SET – (Social Engineering Toolkit) – vertrauenswürdigsec.com

Das Social Engineering Toolkit enthält eine Vielzahl von Tools, aber einige der wichtigsten für Phishing sind die Fähigkeit, Speerfischen Angriffe und Bereitstellung gefälschter Versionen gängiger Websites, um die Opfer zur Eingabe ihrer Anmeldeinformationen zu verleiten.

Dropper sind Software, die Phishing-Opfer oft dazu verleitet werden, herunterzuladen und auf ihrem System auszuführen. Der Dropper kann sich als etwas Nützliches oder Legitimes ausgeben, beispielsweise als Codec zum Anzeigen eines bestimmten Videos oder als Software zum Öffnen einer bestimmten Datei.

Die Dropper selbst sind normalerweise nicht bösartig und bestehen daher die Antivirenprüfungen in der Regel. Nach der Installation wird die beabsichtigte Malware entweder entpackt oder von einem Server heruntergeladen und auf dem Computer des Opfers installiert. Die Schadsoftware stellt normalerweise eine Verbindung zur Infrastruktur des Angreifers her. Der Angreifer kann die Kontrolle über den Computer des Opfers übernehmen und das lokale Netzwerk weiter erkunden und ausnutzen.

Die Wahl des richtigen Phishing Die richtige Domain für Ihren Angriff ist entscheidend, um sicherzustellen, dass Sie Ihrem Ziel gegenüber psychologisch im Vorteil sind. Bei einem Red Team-Einsatz können einige der folgenden Methoden zur Auswahl des perfekten Domainnamens verwendet werden.

Abgelaufene Domains:

Obwohl es nicht unbedingt erforderlich ist, kann der Kauf eines Domänennamens mit einer gewissen Historie zu einer besseren Bewertung Ihrer Domäne bei Spamfiltern führen. Spamfilter neigen dazu, brandneuen Domänennamen weniger zu vertrauen als solchen mit einer gewissen Historie.

Typosquatting:

Typosquatting liegt vor, wenn eine registrierte Domain der Zieldomain, die Sie imitieren möchten, sehr ähnlich sieht. Hier sind einige der gängigen Methoden:

Rechtschreibfehler: goggle.com vs. google.com

Verlängerungszeitraum: go.ogle.com vs. google.com

Zahlen gegen Buchstaben tauschen: g00gle.com vs. google.com

Formulierung: googles.com vs. google.com

Zusätzliches Wort: googleresults.com Vs google.com

Diese Änderungen erscheinen möglicherweise unrealistisch, aber auf den ersten Blick neigt das menschliche Gehirn dazu, die Lücken zu füllen und das zu sehen, was es sehen möchte, nämlich den richtigen Domänennamen.

Raumantworten | TryHackMe Phishing

Zu welcher Art psychologischer Manipulation gehört Phishing?

An welcher Art von Phishing-Kampagnen beteiligen sich Red Teams?

Welche Taktik kann verwendet werden, um Marken oder Personen zu finden, mit denen ein Opfer interagiert?

Was sollte an einem HTML-Ankertag geändert werden, um einen Link zu verschleiern?

Welcher Teil einer Red-Team-Infrastruktur kann dazu führen, dass eine Website authentischer aussieht?

Welches Protokoll verfügt über TXT-Einträge, die die Zustellbarkeit von E-Mails verbessern können?

Welches Tool kann eine Phishing-Kampagne automatisieren und Analysen einbinden?

Wie lautet das Passwort für Brian?
Sind Dropper eher böswillig?
Was ist besser: eine abgelaufene oder eine neue Domain zu verwenden? (alt/neu)

Wie nennt man die Registrierung eines ähnlichen Domänennamens mit einem Rechtschreibfehler?

Was können Microsoft Office-Dokumente enthalten, die bei Ausführung Computerbefehle ausführen können?
Welcher aktuelle CVE führte zur Remotecodeausführung?
Was ist die Flagge aus der Herausforderung?

Raumantworten | TryHackMe Phishing-Analysegrundlagen

Aus welchem Zeitraum stammen die E-Mails?
Welcher Port wird als sicherer Transport für SMTP klassifiziert?

Welcher Port wird als sicherer Transport für IMAP klassifiziert?

Welcher Port wird als sicherer Transport für POP3 klassifiziert?

Welcher E-Mail-Header ist dasselbe wie „Antwort an“?

Wenn Sie die IP-Adresse des E-Mail-Absenders gefunden haben, wo können Sie weitere Informationen zur IP abrufen?

Was ist die URI des blockierten Bildes in den obigen Screenshots?

Wie lautet der Name des PDF-Anhangs in den obigen Screenshots?

Zeigen Sie in der angeschlossenen virtuellen Maschine die Informationen in email2.txt an und rekonstruieren Sie das PDF mithilfe der Base64-Daten. Was ist der Text im PDF?

Als welche vertrauenswürdige Entität wird in dieser E-Mail getarnt?

Wie lautet die E-Mail des Absenders?

Was ist die Betreffzeile?

Wofür ist der URL-Link - KLICKEN SIE HIER? (Geben Sie die entschärfte URL ein)

Was ist BEC?

Antworten im Raum | TryHackMe Phishing-Analysetools

Wie lautet der offizielle Site-Name der Bank, der capitai-one.com ähneln sollte?

Wie können Sie den Standort eines Hyperlinks manuell ermitteln?
Sehen Sie sich die Strings-Ausgabe an. Wie lautet der Name der EXE-Datei?

Welche Marke sollte durch diese E-Mail imitiert werden?

Was ist die Absender-E-Mail-Adresse?

Was ist die ursprüngliche IP? Deaktivierung der IP-Adresse.

Welcher Bereich könnte Ihrer Meinung nach von Interesse sein? Entschärfen Sie den Bereich.

Was ist die verkürzte URL? Entschärfen Sie die URL.

Als was klassifiziert AnyRun diese E-Mail?

Wie heißt die PDF-Datei?

Was ist der SHA-256-Hash für die PDF-Datei?

Welche zwei IP-Adressen werden als bösartig eingestuft? Entschärfen Sie die IP-Adressen. (Antwort: IP_ADDR,IP_ADDR)

Welcher Windows-Prozess wurde markiert als Potenziell schlechter Verkehr?

Wie wird diese Analyse klassifiziert?

Wie lautet der Name der Excel-Datei?

Was ist der SHA-256-Hash für die Datei?

Welche Domänen werden als bösartig eingestuft? Entschärfen Sie die URLs und senden Sie die Antworten in alphabetischer Reihenfolge. (Antwort: URL1, URL2, URL3)

Welche IP-Adressen werden als bösartig eingestuft? Entschärfen Sie die IP-Adressen und senden Sie Antworten in absteigender Reihenfolge. (Antwort: IP1, IP2, IP3)

Welche Schwachstelle versucht dieser bösartige Anhang auszunutzen?

Raumantworten | TryHackMe Phishing-E-Mails in Aktion

Mit welcher Phrase beginnt die unsinnige E-Mail des Absenders?
keine Antwort
Was ist die Stammdomäne für jede URL? Entfernen Sie die URL.
devret[.]xyz
In diesem E-Mail-Beispiel wurden die Namen einiger großer Unternehmen, deren Produkte und Logos wie OneDrive und Adobe verwendet. Welcher andere Firmenname wurde in dieser Phishing-E-Mail verwendet?
Citrix
Was sollten Benutzer tun, wenn sie eine verdächtige E-Mail oder Textnachricht erhalten, die angeblich von Netflix stammt?
Leiten Sie die Nachricht an phishing@netflix.com weiter.
Was bedeutet BCC?
Blindkopie
Welche Technik wurde verwendet, um das Opfer davon zu überzeugen, die E-Mail nicht zu ignorieren und schnell zu handeln?
Dringlichkeit
Wie lautet der Name der ausführbaren Datei, die der Excel-Anhang auszuführen versucht?
Herunterladen

Raumantworten | TryHackMe Phishing-Prävention

Verweisen auf die dmarcian SPF-Syntaxtabelle, welches Präfixzeichen kann dem „All“-Mechanismus hinzugefügt werden, um ein „Softfail“-Ergebnis sicherzustellen?

~

Was ist die Bedeutung des -alle Etikett?

scheitern
Welcher E-Mail-Header zeigt den Status an, ob DKIM erfolgreich war oder fehlgeschlagen ist?
Authentifizierungs-Ergebnisse
Welche DMARC-Richtlinie würden Sie verwenden, um eine E-Mail nicht anzunehmen, wenn die Nachricht die DMARC-Prüfung nicht besteht?
p=ablehnen
Was ist Nichtabstreitbarkeit? (Die Antwort ist ein vollständiger Satz, einschließlich des „.“)
Die Einzigartigkeit einer Signatur verhindert, dass der Signaturinhaber das Eigentum an dieser Signatur ablehnt.

Mit welchem Wireshark-Filter können Sie die Paketausgabe mithilfe von SMTP-Statuscodes eingrenzen?

Richtige Antwort: smtp.response.code

Was war laut Netzwerkverkehr die Meldung für den Statuscode 220? (Fügen Sie den Statuscode (220) nicht in die Antwort ein.)

Korrekte Antwort: dienstbereit

Ein Paket zeigt eine Antwort, dass eine E-Mail mit spamhaus.org blockiert wurde. Wie lauteten die Paketnummer und der Statuscode? (keine Leerzeichen in Ihrer Antwort)

Richtige Antwort: 156.553

Was war basierend auf dem Paket aus der vorherigen Frage die Nachricht bezüglich des Postfachs?

Richtige Antwort: Postfachname nicht zulässig

Welcher Statuscode geht normalerweise einem SMTP-DATA-Befehl voraus?

Richtige Antwort: 354

Welchen Port verwendet der SMTP-Verkehr?

Richtige Antwort: 25

Wie viele Pakete sind speziell SMTP?

Richtige Antwort: 512

Was ist die Quell-IP-Adresse für den gesamten SMTP-Verkehr?

Richtige Antwort: 10.12.19.101

Wie lautet der Dateiname des dritten Dateianhangs?

Richtige Antwort: attachment.scr

Wie wäre es mit dem letzten Dateianhang?

Richtige Antwort: .zip

Welche Software ist laut MITRE ATT&CK mit der Verwendung von SMTP und POP3 für C2-Kommunikation verbunden?

Richtige Antwort: Zebrocy

Raumantworten | TryHackMe Phishing-Prävention

Was ist der Überweisungsreferenznummer in der E-Mail aufgeführt Thema?

Von wem ist die E-Mail?

Wie lautet seine E-Mail-Adresse?

An welche E-Mail-Adresse wird eine Antwort auf diese E-Mail gesendet?

Was ist die ursprüngliche IP?

Wer ist der Eigentümer der ursprünglichen IP? (Fügen Sie in Ihrer Antwort keinen „.“ ein.)

Was ist der SPF-Eintrag für die Return-Path-Domäne?

Was ist der DMARC-Eintrag für die Return-Path-Domäne?

Wie lautet der Name des Anhangs?

Was ist der SHA256-Hash des Dateianhangs?

Wie groß ist die Dateigröße der Anhänge? (Vergessen Sie nicht, Ihrer Antwort „KB“ hinzuzufügen. Anzahl KB)

Was ist die tatsächliche Dateierweiterung des Anhangs?

Video-Komplettlösung

, ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen