2016年11月的新西兰黑客大会Kiwicon上,FortConsult的网络安全专家Michele Orru发布了一款自动化网络钓鱼工具,并且将其命名为PhishLulz。这个钓鱼框架主要是由ruby所编写,并且运行起来十分高效。在演示过程中,安全专家只需要10分钟就能搭建起钓鱼环境,进行精确的钓鱼攻击。
钓鱼框架特点
该钓鱼框架已经开源,并且发布在了github上,目前已经有10人fork,60多人star。可以说这个开源项目受到很多人的关注,接下来的发展会越来越稳定和突出。
特点
该钓鱼框架主要是基于PhishingFrenzy和BeEF两大开源项目组建而成,从理论上来说,它有着那么几大特性。
这个钓鱼框架可以建立一个SPF记录。也就是说,如果域名没有设置SPF记录,那么可以被该钓鱼框架伪造邮件。让我最感兴趣的还是它可以轻易的躲避垃圾邮件过滤器,成功的让对方收到钓鱼邮件。于此同时,它还可以通过图表记录钓鱼成功的人数,区域划分,目标IP地址等等信息。
该钓鱼框架还可以自定义各种各样的模块,以此来针对不同目标的攻击人群。并且框架一直在持续增加和更新中。
在最后这个框架还可以生成各种格式的钓鱼报告,来总结钓鱼攻击的详细信息。
工具介绍
phish_lulz:启动或者停止钓鱼攻击
tools/find_resources:多线程子域名扫描和指纹扫描
tools/mailboxbug: 多线程email数据发送模块
tools/mail_parser:从.eml文件中提取HTML和TXT数据
namecheap_wrapper: 自动化注册域名
默认登陆口令
MySQL root user: phishlulz_mysql
PhishingFrenzy admin user: phishlulz_frenzy
BeEF beef user: phishlulz_beef
要求
1.亚马逊AWS的账号(在配置文件config.yaml处写上配置信息)
2.不得是windows或者Mac OS系统
3.具有ssh, scp和openssl服务
4.具有Ruby环境
5.Gecko或者Chrome内核类型的浏览器(比如firefox或者chrome浏览器)
是福是祸?
根据该意大利“老司机”Orru在会议上的演讲,可以总结得出,在早晨或者午餐后发送的钓鱼邮件更有成功率。在Orru对澳大利亚官员调查测试的过程中,有40%的澳大利亚公务员打开了钓鱼电子邮件,并且还发送了各种VPN登陆口令。而Orru这个“老司机”在短短两天内就获取到了各种域名的管理权限。实际上,针对邮件钓鱼的思路还是很多,而且普通员工很难注意到.com和.co邮件的区别。
最近几年,网络安全产品如同雨后春笋般发芽生长,但是针对社工类的安全研究始终止步不前。这个钓鱼框架的发行,从好的一方面来看可以推动社工安全前进的脚步,从坏处来看大量的脚本小子将会运用该框架作为钓鱼邮件攻击等。
其它
该项目本身自带的自签名CA,但是需要注意的自动化域名注册功能是从TODO域名供应商那里注册,当然你也可以选择NameCheap域名供应商。
Github项目地址:https://github.com/antisnatchor/phishlulz
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/55362.html