红队APT-钓鱼篇_邮件钓鱼_Ewomail系统_网页克隆_swaks 邮件伪造

演示案例:

Ewomail&Swaks-邮件伪造发信人

发邮件的邮箱地址如果能伪造的话，是能够提高邮件钓鱼的成功率，我们看到是官方邮箱给我们发的邮件，很大几率会取性于邮件的官方性

我们采取下面两种方式进行伪造：
不存在SPF
可直接利用Swaks伪造任意发信人邮箱地址

但是大部分是存在SPF
1、采用其他主流邮件进行突破
网易163邮箱进行转发之后，给目标邮箱腾讯邮箱发送，显示来源为官方邮箱，但是会有一个问题，那就是全部会显示转发的一个情况

我们发送邮件过多的话，如果他有检测到你用这个邮件专门做坏事，就是不是一个正常使用的规律，他会对你的邮件进行查封

2、采用第三方邮件系统进行突破
已演示:sedcloud
smtp2go(速度慢但免费发送量大)
SendCloud(述度快但免费发送量少)
https://www.smtp2go.com/
https://www.sendcloud.net/

用第三方的要收费

Ewomail-邮件系统-搭建&使用

3、采用自己搭建Ewomail配合Swaks
-转发地址域名由你指定注册
-不受限于其他系统的限制和风控
http://doc.ewomail.com/docs/ewomail/jianjie
https://blog.csdn.net/u012866532/article/details/123335529

我们前期准备的域名要跟我们的目标保持高度的相似性；

服务器的购买绝对不要买阿里云和腾讯云的，因为要解除25端口的限制要包年的才可以，阿里云的甚至要申请；

国内购买的域名要备案才能使用，建议大家使用香港和境外的服务器

swaks --to 471656814@gg.com -f admin@testxiaodi.fun --data test.eml --server
1

smtp.testxiaodi.fun -p 25 -auadmin@testxiaodi.fun -ap ewomail123
1

#优化平台-内容&钓鱼&批量-Gophish
https://github.com/gophish/gophish
1、使用己知邮箱系统
2、自建域名邮箱系统

Ewomail&Gophish-邮件加网页钓鱼

克隆：
1、手工另存为
2、Setoolkit
3、Goblin
https://github.com/xiecat/goblin
https://github.com/trustedsec/social-engineer-toolkit
修改:
1、网页代码-逻辑修改
2、EXE后门-资源修改

网页钓鱼主要是克隆修改，就是相当于在你本地起一个流量的中转，他访问的还是jd.com，这就是为什么他的页面特别逼真就像真的一样

网页钓鱼的作用就是截获用户账号密码，控制目标的电脑上线，主要就是看攻击者的目标，或者是什么邮件引起的，如果是发一封打补丁的，那就涉及到文件后门的问题，我发一封商城的，那就是对你的账号感兴趣

一般邮件钓鱼会配合网页钓鱼会来的更真实，如果只是邮件钓鱼，而我不认识发件人，那我一般是不会去打开邮件的附件的

网页钓鱼-克隆修改-二维码用户劫持

把二维码固定死，不管他怎么刷新

代码修改:
显示二维码url地址
1、钓鱼页面的二维码，来源是由攻击方的二维码产生的修改钓鱼页面，固定好的二维码的url路径

2、攻击方的二维码，来源是由钓鱼页面的二维码产生的，修改钓鱼页面，固定好二维码的url路径

相当于攻击者在自己浏览器开一个登录页面，然后看一下二维码链接是否和调研二维码地址链接保持一致，只要对方扫码了，这边登录了，我们就会搞到请求

网页钓鱼-克隆修改-Flash升级后门上线

Flash有时候在播放动画的时候会提示我们下载

模拟比较上线的后门，把后门自带修改，模拟成真实的这种图标的后门同时进行免杀

以什么理由让对方去下载文件，这个是很重要的，像一些内部部门的话，就是安装和更新一些补丁，或者给对方发送一个动画视频，这个动画视频是不能播放的，类似于gif图片，刚好动画里面有显示你的播放器是坏的，点进去要它更新播放器，然后更新的播放器就是你本地的

发送一个邮件内容、gif动态图片、动画视频、flash格式、动画制作，本身就播放不了，为了诱惑性在动画提示需要更新flash对方点击动画，来到了钓鱼页面(官方的flash网站))下载更新文件(免杀后门)

邮件钓鱼技术难度点在于，你怎么让对方相信你，这才是它的关键所在，这也是为什么称之为APT社会工程学的原因，我们要掌握对方的信息，以对方感兴趣的东西去钓它