Ќас знает голосовой помощник јлисајлиса это умеет

ћерион Ќетворкс

7 минут чтени€

¬о любой цепочке безопасности самым слабым звеном был и остаетс€ человек. «абывчивые сотрудники, которые пароли хран€т в открытом виде, иногда даже приклеивают на монитор; любопытные пользователи, которые не прочь покликать по первой попавшейс€ кнопке или ссылке. „ем сидеть и ждать, когда кто-то извне взломает и потом прин€ть меры, лучше самому вы€вить таких нарушителей и предотвратить взлом со всеми его последстви€ми.

ќдной из наиболее распространЄнных видов атак €вл€етс€ фишинг атака. ‘ишинг это такой вид атаки, когда злоумышленник создает поддельную страницу, котора€ точь-в-точь копирует легальный сайт. Ќевнимательный пользователь перейд€ по поддельной ссылке попадает на эту страницу. “ак как внешний вид похож на доверенный ресурс, никто не догадываетс€ проверить URL. ƒалее он, как ни в чем не бывало, вводит свои данные и нажимает на соответствующую кнопку. —траница перезагружаетс€ и перебрасывает пользовател€ уже на реальный сайт, а последний думает, что где-то ввЄл что-то неправильно и еще раз вводит. ј тем временем злоумышленник уже получил нужную ему информацию. Ёто могут быть пароли, номера кредитных карт и т.п. ƒанную атаку может провернуть даже начинающий хакер. Ќо мы лишим его такого удовольстви€ и сами раскинем свою сеть и посмотрим кто туда попадЄтс€.

¬ этом деле нам поможет бесплатный фреймворк gophish. ‘реймворк мультиплатформенный, но € предпочитаю и советую подн€ть всЄ это на Linux машине. ѕодойдЄт абсолютно люба€ верси€.

ѕеред тем как начать, посмотрите наш ролик "»нформационна€ безопасность компании. Ќикаких шуток":

ѕогнали. Ќа сайте разработчика переходим по ссылке Download и качаем нужный нам дистрибутив. Ќа Linux машину можно скачать сразу.  опируем ссылку на zip архив и в терминале вводим:

wget https://github.com/gophish/gophish/releases/download/v0.8.0/gophish-v0.8.0-linux-64bit.zip

ƒалее разархивируем скачанный файл:

unzip gophish-v0.8.0-linux-64bit.zip

≈сли в системе нет пакета unzip качаем его. ƒл€ Debian/Ubuntu

apt-get install unzip

ƒл€ RedHat/CentOS:

yum install unzip

«атем открываем файл config.json любым удобным вам редактором:

nano config.json

ћен€ем указанные ниже значени€

admin_server.listen_url

127.0.0.1:3333

IP/Port админ панели gophish

admin_server.use_tls

False

Ќужно ли защищЄнное соединение с админ панелью

admin_server.cert_path

example.crt

ѕуть к SSL сертификату

admin_server.key_path

example.key

ѕуть к приватному ключу SSL

phish_server.listen_url

0.0.0.0:80

IP/Port самого фишинг сервера, куда переход€т пользователи по ссылке

«десь первый параметр € помен€л на 0.0.0.0:3333 так как мой сервер находитс€ за межсетевым экраном и доступа извне туда нет. Ќо при необходимости можно организовать это. “акже € отключил требование TLS. ¬о внутренней сети особой надобности в нем нет.

ƒалее просто запускаем файл gophish командой:

./gophish

» переходим на админскую часть нашего фишинг сервера. ѕо умолчанию им€ пользовател€ admin, а пароль gophish. ¬сЄ это можно потом помен€ть, но по пор€дку. ѕри входе открываетс€ панель, где видны проведЄнные атаки и результаты.  ликнув на иконке статистики можно перейти к детальным отчЄтам.

јдминска€ часть нашего фишинг сервера

“ут отображаетс€ вс€ информаци€ о пользовател€х, которые перешли по ссылке, ввели данные. ≈сть еще отчЄт по открытым письмам, но если пользователь не кликнул на ссылку в письме и не перешЄл на нашу фишинговую страницу, то это значение не мен€етс€. ѕоэтому, на мой взгл€д, это просто лишн€€ информаци€.

“еперь начнЄм непосредственно настраивать систему и готовить нашу атаку. ѕойдем снизу вверх. Ќа вкладке User Management можно создать новых пользователей. ƒл€ этого переходим на нужную страницу и нажимает на кнопку Add user:

Add User

’от€ и пользовател€м можно назначать права, особого смысла тут тоже нет. ѕотому, что пользователь, во-первых, не видит никакие кампании другого пользовател€, во-вторых, имеет те же самые права, что и администратор, с тем лишь отличием, что он не может создавать других пользователей или сбрасывать их пароли. Ќа этой всЄ странице интуитивно пон€тно, так что не буду слишком углубл€тьс€.

Ќа вкладке Account Settings можно помен€ть им€ пользовател€ пароль текущего пользовател€.

Settings Ц смена парол€

—ледующа€ вкладка Sending Profiles. ¬от тут то и переходим к этапу подготовки нашей атаки. Ќа этой странице настраиваютс€ профили, от имени которых будет идти атака.

Ќастройка профилей атаки

¬водим название профил€, e-mail, с которого будут рассылатьс€ письма, адрес SMTP сервера и порт, им€ пользовател€ и пароль при необходимости. “ут бы € хотел остановитьс€ поподробней.  огда планировали свою атаку, мы решили создать почту на общедоступном почтовом ресурсе. Ќо там сто€л лимит на число получателей, что в принципе и правильно. ѕоэтому перва€ наша кампани€ провалилась. » тогда мы оперативно создали новую DNS запись на нашем AD и провернули затею. —оздание доменной записи € тут не буду объ€сн€ть, ибо этим зан€лись наши сисадмины, за что им спасибо.

ƒалее можно создать mail заголовки, но дл€ тестовой среды это не критично. ѕосле ввода данных можно отправить тестовое письмо, дабы проверить работоспособность нашего профил€:

“естовый email дл€ фишинга

«атем переходим к созданию самой страницы. ƒелаетс€ это на вкладке Landing Pages. «десь можно пойти двум€ пут€ми: сверстать свою страницу с нул€ или же просто скопировать с реального сайта и подкорректировать нужное. ƒл€ этого предусмотрен очень удобный инструмент в самой системе.

gophish Ц создание landing page дл€ фишинга

Ќажав на кнопку Import Site вы можете ввести URL любого сайта и фреймворк сам подт€нет оттуда весь дизайн, только учтите, что дл€ этого системе нужен доступ в интернет.

јвтоматический парсинг страницы с gophish

„тобы перехватывать введЄнные данные, нужно поставить соответствующие галочки. Capture Submitted Data и Capture Passwords. ”чтите, что пароли не шифруютс€ и хран€тс€ в базе системы в открытом виде!

“акже не забываем прописать адрес ресурса, куда будет перенаправл€тьс€ пользователь после ввода данных.

–едирект с лендинг пейдж с помощью gophish

—ледующий шаг создание шаблона письма, дл€ чего переходим на страницу Email Template. “ут тоже можно и самому набрать текст или же импортировать уже готовое письмо.

—оздание шаблона письма с гофиш

≈щЄ один минус, нельз€ вставл€ть фото из локального ресурса, что досадно. ћожно только вставить ссылку на картинку, что в моЄм случае тоже не сработало картинка не открывалась.

Ќо есть и удобные фичи: переменные например. Ќиже приведЄн список переменных, которые можно указать в тексте, создава€ персонализированные письма.

{{.RId}}

”никальный ID цели

{{.FirstName}}

»м€ цели

{{.LastName}}

‘амили€ цели

{{.Position}}

ƒолжность

{{.Email}}

ѕочтовый адрес

{{.From}}

ќтправитель

{{.TrackingURL}}

—сылка отслеживани€

{{.Tracker}}

ѕсевдоним <img src="{{.TrackingURL}}"/>

{{.URL}}

јдрес фишинг ссылки

{{.BaseURL}}

“а же фишинг ссылка, только без RID

ƒалее создаем пользовател€ или группу пользователей, которые получат наше письмо. ƒелаетс€ это на вкладке Users & Groups. «десь тоже разработчики предусмотрели массовый импорт адресов. ≈сли у вас настроен AD и Exchange Server, попросите админов отдать вам список всех акттвных пользователей в формате CSV. «атем импортируйте их в систему.

—оздание группы пользователей

», наконец, переходим к созданию самой атаки. ƒл€ этого переходим на вкладку Campaigns. «десь в принципе дублируетс€ основна€ панель.

—оздание атаки в gophish

¬ыбираем New Campaign задаЄм название кампании, из выпадающих списков выбираем ранее созданные шаблоны письма и фейковой страницы, указываем профиль, с которого пойдут письма, и определ€ем целевую группу. ¬ URL прописываем адрес нашего сервера. «десь можно написать и IP или же, что еще лучше, задать доменное им€, которое похоже на доверенный ресурс. ¬ этом случае пользователь в адресной строке увидит не IP, а полноценный домен. “акже можно выставить дату начала кампании. », собственно, запускаем кампанию и ждем пока кто-то попадЄтс€ на нашу удочку.

—истема заботливо показывает текущий статус отправки, и, в случае ошибки, указывает почему не удалось отправить письмо.

Ќа этом, пожалуй все. —истема очень лЄгка€, интуитивно пон€тна€. ”дачи в реализации!


ѕолезна ли ¬ам эта стать€?


Ёти статьи могут быть вам интересны: