記一次給客戶做的釣魚勒索演練

  • 2024-06-27 16:23
  • 我不懂安全

說明:本案例目前是針對客戶現有環境和客戶部分要求下產出的單獨案例,如需推廣需要進行改動

第一章 演練方案討論

1.1客戶需求

經過與客戶多次溝通,本次演練的要求大致如下:

1.1.1 本次釣魚範圍爲客戶全行,人數估計約一萬多人。

1.1.2 本次釣魚的場景定位釣魚勒索,需要有勒索界面場景。

1.1.3 出現勒索界面後,需要中招人員輸入個人工號獲取密鑰來關閉勒索界面。

1.1.4 釣魚郵件採用附件觸發方式,上次演練使用的是二維碼。

1.2 方案討論

1.2.1 針對本次演練範圍較廣,郵件發送暫定爲腳本發送,並且使用郵件推送服務來完成。

1.2.2 由於是勒索場景,所以需要先制定出勒索界面;溝通後勒索界面定由python腳本編寫。

1.2.3 由於考慮到客戶提出的客戶方使用到較多的雲桌面和非固定終端,客戶想根據員工工號來判斷中招人員信息。

1.2.4 由於釣魚郵件要採用附件形式,這樣的話樣本需要製作。

1.3 方案制定

1.3.1 郵件發送方式定爲阿里雲郵件推送服務+python腳本方式發送。

1.3.2 勒索界面使用python編寫並插入客戶提供的描述信息,如下:

 

界面設置了輸入工號按鈕和解鎖按鈕,分別用來輸入工號和密鑰。

1.3.3 經過討論,郵件附件確認使用exe格式文件,但因爲python寫的勒索界面轉換爲exe後由於打包加入了較多的模塊,導致文件很大,不適合作爲郵件附件發送(這點在1.3.5說明原因)。所以討論使用批處理文件使用打包工具生成exe文件。

1.3.4 經溝通發現需要根據員工工號來校驗勒索界面輸入的工號信息的話,需要主動傳入工號這個參數;因此需要把工號放置在批處理文件中作爲參數攜帶,然後通過執行批處理文件來傳入工號。

1.3.5 因爲每個工號都是不一樣的,所以生成的每個附件都是不一樣的,那麼郵件推送就只能一對一發送;這種情況下如果直接把勒索界面的exe作爲附件的話,那麼每封郵件將近12M,一萬多人就是將近十幾個G的流量,需要花費較大。所以最後決定採用方案爲:勒索界面程序先通過客戶聯軟落地,先部署在每個終端固定目錄下,而後使用較小的批處理文件轉換成的exe程序攜帶工號參數去拉起。

根據溝通結果整體流程如下:

 

第二章 演練準備

2.1演練所需代碼

郵件推送:ali_phish.py;python寫的推送腳本

通過聯軟落地文件:holytest.py;python寫的勒索界面

郵件附件:

調用.bat:生成需要的bat文件

ttt.bat:將bat文件通過Bat_To_Exe_Converter30.exe工具轉換爲exe

Bat_To_Exe_Converter30.exe:bat轉換exe工具

show.php:展示頁面

recode.php:往數據庫中插數據

2.2演練環境

郵件推送:使用個人的阿里雲郵件推送服務,且客戶郵件客戶端均在內網

數據統計:客戶提供的內網服務器並打通策略,部署phpstudy搭建簡易環境,啓用apache和mysql

2.3 附件生成

2.3.1 通過2.1中的調用.bat和客戶提供的人員郵箱信息生成攜帶有工號信息的批處理文件(這裏說明下客戶的郵箱信息前半部分就是工號)。

2.3.2 再通過2.1中的ttt.bat配合Bat_To_Exe_Converter30.exebat轉exe工具)生成附件需要的exe文件,文件內容如下:

 

邏輯是通過cmd執行落地在固定目錄下的holytest.exe,並傳入工號信息。

2.4 郵件內容

第三章 演練開始

3.1 郵件推送

3.1.1 使用推送腳本進行郵件推送(腳本會讀取郵箱信息的txt文本,根據讀取的郵箱信息前的工號去附件樣本目錄下獲取對應的附件exe)

3.1.2 第一天推送由於等級限制,只能推送五千條,所以先推送了客戶本部人員;第二天等級提示了所以一次性推送完了剩下的九千多條。

3.2 演練觀察

3.2.1 第一日發送郵件未遇到特殊情況,另外數據接收服務器也狀態良好,不過根據展示界面看重複點擊數據較多,主要原因分析是在拉起落地的樣本較大,通過cmd命令較慢導致參與演練的人員多次誤點(這個可以後續添加判斷方法以篩出重複點擊)。

3.2.2 第二日郵件推送出現一例失敗,經過客戶方安裝的我方郵件網關設備分析發現是失敗的原因是那個郵箱不存在;其它一切正常。

第四章 數據統計和總結

4.1  數據統計

4.1.1 統計

參與演練人數:14420人

郵件發送成功數:14420封

被誘導人數:328人

4.2  演練總結

4.2.1本次演練過程中出現一例例子:某員工把接收到的釣魚郵件分發給組內成員,導致組內成員觸發,並且由於是每個人都是固定工號,導致其他人輸入自己工號無法解鎖

4.2.2根據被誘導人數和總人數來看,本次演練成功比例達到百分之二以上,整體已達成客戶期望,效果較好。但也從側面看出客戶安全意識還需加強。

4.2.3本次演練由於客戶需求,可複製性有待改善。不過由於客戶有硬性要求,提高可複製性的話可以通過獲取信息的情況來適當修改;另外就是如果郵件附件都統一的話可以直接把勒索界面當作附件傳輸,也可以使用釣魚鏈接方式等。

至於詳細代碼有需要的朋友可以單獨私我~