专栏名称: 嘶吼专业版
为您带来每日最新最专业的互联网安全专业信息。
目录
相关文章推荐
苍梧晚报  ·  停机通告!涉医保! ·  23 小时前  
邢者团队晚间解盘  ·  绝对主流 ·  昨天  
邢者团队晚间解盘  ·  绝对主流 ·  昨天  
湛江日报  ·  千万别点!多个微信群已出现! ·  2 天前  
湛江日报  ·  千万别点!多个微信群已出现! ·  2 天前  
国家互联网应急中心CNCERT  ·  网络安全信息与动态周报2024年第51期(1 ... ·  2 天前  
51好读  ›  专栏  ›  嘶吼专业版

利用发件人策略框架(SPF)自动进行反网络钓鱼攻击行为侦察

嘶吼专业版  · 公众号  · 互联网安全  · 2018-07-06 20:15

正文


TL; DR:这篇文章描述了通过SPF构建一个自动发现钓鱼攻击活动的过程。

免责声明:

这个版本的某些部分在你所在的区域可能不合法。在野外使用需要你自担风险。在实际利用之前你需要评估你的目的。BHIS @Krelkci对你的行为不承担任何责任。

背景:

在我们之前关于配置SPF的博客文章中,我没有详细说明存在和机制的可怕性。SPF专家以外的人都知道,你可以围绕这两种机制的使用构建一个自动化响应系统。喜欢阅读文档吗?请看这里:RFC 4408 http://www.openspf.org/RFC_4408

现有的机制将强制(兼容)接收邮件服务器检查特定域是否存在特定的A DNS记录。虽然这看起来很有趣,但更重要的是在现有机制中使用SPF宏。它实质上允许你将有关原始SMTP服务器的信息从接收SMTP服务器传递到信封的FROM字段中域的域所有者确定的位置。

你有什么新的想法?

我们来看看这个SPF记录:

v=spfc1 include:mail.youdomain.com -exist:{d}.AutoRecon.yourdomain.com -all

接收SMTP服务器会执行以下操作:

· 从FROM字段=域的原始邮件服务器接收。

· 检查mail.yourdomain.com的SPF记录,找到原始服务器就是OK的,否则继续。

· 检查[ORIGINATING.MAIL.SERVER.NAME] .autorecon.yourdomain.com是否存在A DNS记录。

· 拒绝其他一切(-all)。

以下是要点。如果邮件是从mail.yourdomain.com的SPF标头中不存在的服务器传递的,则接收邮件服务器将尝试检查别名记录,以查找动态构建的动态主机名。你现在要做的就是构建一个配置为接受.autorecon.yourdomain.com的DNS查询的DNS服务器。并向自动侦察系统提供所有查询,并告知你的全局DNS提供商autorecon.yourdomain.com由你的自动侦察服务授权响应。让我们开始操作吧。

在AutoRecon服务上

· 绑定已配置为接受AutoSPF.yourdomain.com的查询

· SSMTP配置为发送邮件

获取文件:

cd/opt/

git clone https://github.com/Relkci/AutoSPFRecon

apt-get install bind9

apt-get install logtail

apt-get install python-setuptools

easy_install click

easy_install shodan

设置BIND9域名 -named.conf

nano /etc/bind/named.conf

zone "autorecon.YOURDOMAIN.com" {

type master;

notify no;

file "/etc/bind/AutoRecon.yourdomain.com";

};

设置BIND9域 - 区域文件

nano /etc/bind/autospf.yourdomain.tld

$TTL 3D

@       IN      SOA     autorecon.ns.yourdomain.com. [email protected] (

199802151       ; serial, todays date + todays serial #

21600              ; refresh, seconds

3600              ; retry, seconds

604800              ; expire, seconds

30 )            ; minimum, seconds

;

NS      ns              ; Inet Address of name server

;

localhost       A       127.0.0.1

ns      A       IP-OF-AutoRecon

重启绑定:

Service bind9 restart

Service bind9 status

配置绑定以将DNS的查询记录到/var/log/syslog:

#below command toggles query logging, be sure it is enabled

rdnc querylog

#confirm it is turned on with

tail -n 2 /var/log/syslog

设置域DNS记录

**注意**设置SPF记录如下所示,将告知所有邮件服务器拒绝你的电子邮件** 

你可以使用exist:autospf.yourdomain.tld机制,它不会立即拒绝电子邮件。请务必保留SPF的正确部分,以免拒绝所有电子邮件。以下示例适用于不应发送电子邮件的域。

请参阅我们关于SPF记录的博客文章,为你的组织创建正确的SPF记录。

在你的TLD名称服务器上:

Type: A         Host: autorecon.ns.yourdomain.com Value: IP-OF-AutoRecon

Type: NS         Host: autorecon.yourdomain.com         Value: autorecon.ns.yourdomain.com

Type: TXT        Host: @                                                 Value: “v=spf1 -exist:%

{i}.autorecon.yourdomain.com -all”

把它们放在一起:

当邮件服务器收到电子邮件并且原始邮件服务器检查SPF记录并发现它无法在include:字段中或其他邮件记录中找到邮件服务器时,它将一直继续查找,exist:%{i}.autorecon.yourdomain.com

这将指示它用发起电子邮件的服务器的IP替换 %{i} 服务器将查找autorecon.yourdomain.com的NS记录,并发现它是autorecon.yourdomain.com服务。它将查询{IP} .autorecon.yourdomain.com,并且不会收到有效的DNS响应。然而,autorecon.yourdomain.com上的绑定服务器将在/var/log/syslog中记录查询。

AutoReconSPF.sh脚本读取这些查询的syslog,运行一个shodan查询,然后将结果传递到相关的电子邮件地址。

可以将AutoReconSPF.sh脚本配置为使用crontabs每隔几分钟运行一次。

还有什么可以做的:

此PoC脚本用一种易于分区和易于编辑的方式设置框架。你可以添加自己的脚本操作,例如NMAP扫描,IR事件,甚至可以将其链接回Fail2Ban或IPTable黑名单。

Expand.  NMap, Fail2Ban, IPTables, Incident Response. Automate Lights Out.

有人试图通过伪造成来自你域名的电子邮件来欺骗你的员工。由于你的SPF记录无法授权原始邮件服务器,因此你的AutoSPFRecon系统会收到警报并触发电子邮件,Fail2Ban阻止,并且网络钓鱼服务器立即对你的基础架构的可见性不起作用。

运行AutoReconSPF.sh

在此测试中,我发送了一封伪造内容具有AutoReconSPF SPF记录的域的电子邮件。该电子邮件是从Digital Ocean Droplet 206.189.xxx.xxx发送的。接收邮件服务器向autospf.bhis.io发送查询,并创建日志条目。AutoReconSPF.sh将违规邮件服务器的IP标识为shodan,并通过电子邮件将结果发送给我。看起来很棒。

生成的电子邮件已发送:

相关链接:

GitHub: https://github.com/Relkci/AutoSPFRecon

RFC: SPF that includes exist: mechanic http://www.openspf.org/RFC_4408

BHIS SPF for the Masses Blog Post: https://www.blackhillsinfosec.com/how-to-configure-spfv1-explained-for-the-masses/