Task 24 [Day 19] Blue Teaming Something Phishy Is Going On
Triển khai máy ảo gắn liền với tác vụ này; nó sẽ hiển thị trong chế độ xem chia đôi màn hình khi nó đã sẵn sàng.
McSkidy đã nhận được báo cáo về nhiều nỗ lực lừa đảo từ các yêu tinh khác nhau.
Một trong những yêu tinh đã chia sẻ email được gửi cho cô ấy, cùng với tệp đính kèm. Email được chuyển tiếp dưới dạng tệp .eml, cùng với chuỗi được mã hóa base64 trong tệp văn bản. Grinch Enterprises có làm nên trò tai quái của họ không?
Kẻ thù sử dụng một kỹ thuật được gọi là Lừa đảo để cố gắng xâm nhập vào một tổ chức mục tiêu và giành được chỗ đứng (Quyền truy cập ban đầu).
Định nghĩa về Lừa đảo theo Khung MITER ATT & CK: "Kẻ thù có thể gửi tin nhắn lừa đảo để giành quyền truy cập vào hệ thống của nạn nhân. Tất cả các hình thức lừa đảo đều là kỹ thuật xã hội được phân phối điện tử. Lừa đảo có thể được nhắm mục tiêu, được gọi là hành động thương mại. Trong hoạt động thương mại, một cá nhân, công ty hoặc ngành cụ thể sẽ là mục tiêu của đối thủ. Nói chung hơn, kẻ thù có thể tiến hành lừa đảo không nhắm mục tiêu, chẳng hạn như trong các chiến dịch spam phần mềm độc hại hàng loạt.
Kẻ thù có thể gửi cho nạn nhân email chứa các tệp đính kèm hoặc liên kết độc hại, thường là để thực thi mã độc trên hệ thống của nạn nhân. Lừa đảo cũng có thể được thực hiện thông qua các dịch vụ của bên thứ ba, như các nền tảng truyền thông xã hội. Lừa đảo cũng có thể liên quan đến các kỹ thuật kỹ thuật xã hội, chẳng hạn như giả mạo như một nguồn đáng tin cậy."
Theo dõi thêm - https://attack.mitre.org/techniques/T1566/
Vì kiểu tấn công này nhắm vào nhân viên của cả các tổ chức lớn và nhỏ, nên việc đào tạo nhận thức về bảo mật thường được thực thi để giúp giảm thiểu khả năng người nhận trở thành nạn nhân của kiểu tấn công này.
Có một số dấu hiệu cần tìm trong email mà không cần thực hiện phân tích sâu rộng để giúp xác định xem email có khả năng là một nỗ lực lừa đảo hay không. Một số ví dụ được liệt kê dưới đây:
- Bạn có biết người gửi không? Địa chỉ email có khớp với người gửi không? Email trả lời có khớp với người gửi không?
- Trong phần nội dung email, email chào bạn cá nhân (Xin chào McSkidy) hay là rất chung chung (Xin chào Elf)?
- Email có bất kỳ lỗi ngữ pháp nào, chẳng hạn như từ sai chính tả không?
- Email có cung cấp cho bạn cảm giác cấp bách nơi bạn cần phải hành động nhanh chóng không? Chẳng hạn như thời hạn để tài khoản của bạn không bị vô hiệu hóa.
- Email có chứa liên kết hoặc nút có thể nhấp chuyển hướng bạn đến một trang web không? Liên kết có khớp với người gửi hay là một trang web ngẫu nhiên?
- Có tệp đính kèm vào email không?
Bây giờ bạn đã sẵn sàng đi sâu vào. Trong máy ảo được đính kèm, hãy mở ứng dụng thư.
Email.eml sẽ tự động mở cho bạn. Kiểm tra nội dung tệp của email.eml và trả lời các câu hỏi bên dưới.
Khi xem lại mã nguồn email, bạn thường thấy các chuỗi được mã hóa trong Base64 (một phép tính toán học được thực hiện trên các ký tự để mã hóa chúng thành một định dạng có thể đảo ngược). Xem một ví dụ bên dưới.
To view the source code of the email, please reference the example below.
Dưới đây là các lệnh để hỗ trợ bạn phân tích tệp văn bản đính kèm được mã hóa.
- Bạn có thể sử dụng dòng lệnh Linux để đọc nội dung của các tệp văn bản.
mcskidy@elfmode$ cat attachment.txt- Để giải mã chuỗi được mã hóa Base64 trong dòng lệnh Linux, bạn có thể sử dụng lệnh sau:
mcskidy@elfmode$ cat attachment-base64-only.txt | base64 -d- Để chuyển đổi chuỗi được mã hóa Base64 sang định dạng tệp gốc của nó, bạn có thể sử dụng lệnh sau:
mcskidy@elfmode$ cat attachment-base64-only.txt | base64 -d > file.pdfBạn biết đó là tệp PDF dựa trên tiêu đề ma thuật. Xem bên dưới.
Tiêu đề ma thuật là gì? Tham khảo Wikipedia link này .
Chú ý: Bạn có thể thử chuyển đổi Base64 thành tệp PDF thực tế bằng cách sử dụng CyberChef.
P.S. Đừng lo; bạn sẽ được giới thiệu về CyberChef trong những ngày tới nếu bạn chưa quen với nó. ;)
Khởi động máy ảo, Mở mail lên
Email lừa đảo sử dụng các miền mục tiêu tương tự của chúng để tăng khả năng người nhận bị lừa khi tương tác với email. Nó nói rằng email được gửi từ ai? (Câu trả lời là địa chỉ email)
Tìm email gửi. Dựa vào view soure để chúng ta tìm.
Đôi khi email lừa đảo có một địa chỉ email trả lời khác. Nếu email này đã được trả lời, địa chỉ email nào sẽ nhận được phản hồi?
Tìm địa chỉ email nhận phản hồi ở đây. Bạn kéo xuống dưới sẽ thấy
Email lừa đảo ít tinh vi hơn sẽ có lỗi chính tả. Từ sai chính tả là gì?
Bạn đọc nội dung email là thấy liền nhé
Email chứa một liên kết sẽ chuyển hướng người nhận đến một trang web lừa đảo nhằm thu thập thông tin đăng nhập. Liên kết đến trang web thu thập thông tin xác thực là gì?
Click vào nút màu vàng reset mật khẩu ở dưới để lấy link nhé
Xem mã nguồn email. Có một tiêu đề email bất thường. Tiêu đề và giá trị của nó là gì?
Kéo xuống dưới bạn sẽ thấy một tiêu đề tên rất lạ nha
Bạn đã nhận được các báo cáo khác về các nỗ lực lừa đảo từ các đồng nghiệp khác.
Một số email khác có chứa tệp đính kèm. Mở tệp đính kèm.txt. Tên của tệp đính kèm là gì?
Trên máy window tìm tệp attachment.txt mở lên sẽ thấy kết quả
Cờ trong tệp PDF là gì?
Trong tệp tin đó có mã base64, mình xóa thông tin không cần thiết đi và thực hiện giải mã được tệp PDF sau mình mở và đọc cờ
0 Comments