前期准备:
1、钓鱼平台搭建,我用的gophish,可以参考我之前的文章搭建
2、CS做好防护,我这里用的腾讯云函数和加载profile
3、免杀马,自己写,也不知道大家装的都是啥杀软,所以把360、defender、火绒的静态、动态、核晶都测试过了一遍。
4、信息收集,自己人邮箱都有就不收集了,外地同事就不搞了,毕竟不熟
一、木马设计需求:
1、免杀处理:自写无敌马子,秒过国内外杀软动静态查杀,有手就行
2、投递方式:伪装成docx、xlsx文本,通过邮件投递
3、最小动静使目标上线:打开伪装程序后自动打开docx的文本,并释放恶意文件至公共下载目录,删除自身,运行恶意文件。
下图可以帮助更好的理解设计思路
二、邮件设计需求:
投其所好钓鱼
1、市场部需求:宣传公司
对其发送网络安全大会邀请
2、HR需求:招聘人员
模仿BOSS直聘对其发送简历,在线诱惑
3、销售、研发、工程及行政
对其发送疫情防疫通知
三、钓鱼过程展示:
第一阶段
发送近80封邮件,过了一上午效果不佳,仅2人上线
思考原因:
1、大多数人未点开,可能一部分人不使用邮箱办公(俺也一样)
2、邮件设计对目标吸引力不大,未点击查看
3、目标已经知道近期有钓鱼活动,较为谨慎(想到早上开会跟各部门领导说要钓鱼测试,有可能各部门人员都知道了)
解决方案:
针对1:采用非邮件投递方式进行钓鱼
针对2:重新设计邮件方案
针对3:过段时间冷却,随机钓鱼
第二阶段
这里选择解决方案2:重新设计邮件(团建)
为了保证邮件有人点击,此次在邮件中加入涉及个人自身利益的事情(我不信没人看)
成果再次上线3人
思考原因:
这里基本确定绝大多数人有预警或者不使用邮箱办公
第三阶段
回马枪
既然大家都知道俺在钓鱼,那就发个钓鱼成果名单发出来,看别人笑话的时候最放松,让有警觉的人误以为钓鱼结束。可惜我这个安服领导太那啥,非要改我设计好的东西,细节都没了,随他去了
再次上线3人
至此钓鱼结束
也不知道哪个大乖乖把俺的马子提交上去了
谢谢你,根据微步的信息将马子再进行优化下
原文地址:http://www.cnblogs.com/sup3rman/p/16826743.html