Phishing Methodology

Reading time: 21 minutes

tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

Methodology

  1. Recon der Zielperson
  2. Wählen Sie die Zieldomain aus.
  3. Führen Sie eine grundlegende Webenumeration durch, um Login-Portale zu finden, die von der Zielperson verwendet werden, und entscheiden Sie, welches Sie nachahmen möchten.
  4. Verwenden Sie einige OSINT, um E-Mails zu finden.
  5. Bereiten Sie die Umgebung vor
  6. Kaufen Sie die Domain, die Sie für die Phishing-Bewertung verwenden möchten.
  7. Konfigurieren Sie die E-Mail-Dienste bezogene Einträge (SPF, DMARC, DKIM, rDNS).
  8. Konfigurieren Sie den VPS mit gophish.
  9. Bereiten Sie die Kampagne vor
  10. Bereiten Sie die E-Mail-Vorlage vor.
  11. Bereiten Sie die Webseite vor, um die Anmeldedaten zu stehlen.
  12. Starten Sie die Kampagne!

Generieren Sie ähnliche Domainnamen oder kaufen Sie eine vertrauenswürdige Domain

Techniken zur Variation von Domainnamen

  • Keyword: Der Domainname enthält ein wichtiges Keyword der ursprünglichen Domain (z.B. zelster.com-management.com).
  • hypen-subdomain: Ändern Sie den Punkt in einen Bindestrich einer Subdomain (z.B. www-zelster.com).
  • Neue TLD: Gleiche Domain mit einer neuen TLD (z.B. zelster.org).
  • Homoglyph: Es ersetzt einen Buchstaben im Domainnamen durch Buchstaben, die ähnlich aussehen (z.B. zelfser.com).

Homograph Attacks

  • Transposition: Es tauscht zwei Buchstaben innerhalb des Domainnamens (z.B. zelsetr.com).
  • Singularisierung/Pluralisierung: Fügt ein „s“ am Ende des Domainnamens hinzu oder entfernt es (z.B. zeltsers.com).
  • Omission: Es entfernt einen der Buchstaben aus dem Domainnamen (z.B. zelser.com).
  • Wiederholung: Es wiederholt einen der Buchstaben im Domainnamen (z.B. zeltsser.com).
  • Ersetzung: Wie Homoglyph, aber weniger heimlich. Es ersetzt einen der Buchstaben im Domainnamen, möglicherweise mit einem Buchstaben in der Nähe des ursprünglichen Buchstabens auf der Tastatur (z.B. zektser.com).
  • Subdominiert: Fügen Sie einen Punkt innerhalb des Domainnamens ein (z.B. ze.lster.com).
  • Einfügung: Es fügt einen Buchstaben in den Domainnamen ein (z.B. zerltser.com).
  • Fehlender Punkt: Hängen Sie die TLD an den Domainnamen an. (z.B. zelstercom.com)

Automatische Werkzeuge

Webseiten

Bitflipping

Es besteht die Möglichkeit, dass eines der Bits, die gespeichert oder in der Kommunikation sind, automatisch umgeschaltet wird aufgrund verschiedener Faktoren wie Sonnenstürme, kosmische Strahlen oder Hardwarefehler.

Wenn dieses Konzept auf DNS-Anfragen angewendet wird, ist es möglich, dass die Domain, die vom DNS-Server empfangen wird, nicht die gleiche ist wie die ursprünglich angeforderte Domain.

Zum Beispiel kann eine einzelne Bitänderung in der Domain "windows.com" sie in "windnws.com" ändern.

Angreifer können dies ausnutzen, indem sie mehrere Bit-Flipping-Domains registrieren, die der Domain des Opfers ähnlich sind. Ihre Absicht ist es, legitime Benutzer auf ihre eigene Infrastruktur umzuleiten.

Für weitere Informationen lesen Sie https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/

Kaufen Sie eine vertrauenswürdige Domain

Sie können auf https://www.expireddomains.net/ nach einer abgelaufenen Domain suchen, die Sie verwenden könnten.
Um sicherzustellen, dass die abgelaufene Domain, die Sie kaufen möchten, bereits eine gute SEO hat, können Sie nachsehen, wie sie kategorisiert ist in:

Entdecken von E-Mails

Um mehr gültige E-Mail-Adressen zu entdecken oder die bereits entdeckten zu verifizieren, können Sie überprüfen, ob Sie die SMTP-Server des Opfers brute-forcen können. Erfahren Sie hier, wie Sie E-Mail-Adressen verifizieren/entdecken.
Vergessen Sie außerdem nicht, dass, wenn die Benutzer ein beliebiges Webportal verwenden, um auf ihre E-Mails zuzugreifen, Sie überprüfen können, ob es anfällig für Benutzername-Brute-Force ist, und die Schwachstelle, wenn möglich, ausnutzen.

Konfigurieren von GoPhish

Installation

Sie können es von https://github.com/gophish/gophish/releases/tag/v0.11.0 herunterladen.

Laden Sie es herunter und entpacken Sie es in /opt/gophish und führen Sie /opt/gophish/gophish aus.
Sie erhalten ein Passwort für den Admin-Benutzer auf Port 3333 in der Ausgabe. Greifen Sie daher auf diesen Port zu und verwenden Sie diese Anmeldeinformationen, um das Admin-Passwort zu ändern. Möglicherweise müssen Sie diesen Port zu lokal tunneln:

bash
ssh -L 3333:127.0.0.1:3333 <user>@<ip>

Konfiguration

TLS-Zertifikat-Konfiguration

Bevor Sie diesen Schritt ausführen, sollten Sie bereits die Domain gekauft haben, die Sie verwenden möchten, und sie muss auf die IP des VPS zeigen, auf dem Sie gophish konfigurieren.

bash
DOMAIN="<domain>"
wget https://dl.eff.org/certbot-auto
chmod +x certbot-auto
sudo apt install snapd
sudo snap install core
sudo snap refresh core
sudo apt-get remove certbot
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot
certbot certonly --standalone -d "$DOMAIN"
mkdir /opt/gophish/ssl_keys
cp "/etc/letsencrypt/live/$DOMAIN/privkey.pem" /opt/gophish/ssl_keys/key.pem
cp "/etc/letsencrypt/live/$DOMAIN/fullchain.pem" /opt/gophish/ssl_keys/key.crt​

Mail-Konfiguration

Beginnen Sie mit der Installation: apt-get install postfix

Fügen Sie dann die Domain zu den folgenden Dateien hinzu:

  • /etc/postfix/virtual_domains
  • /etc/postfix/transport
  • /etc/postfix/virtual_regexp

Ändern Sie auch die Werte der folgenden Variablen in /etc/postfix/main.cf

myhostname = <domain>
mydestination = $myhostname, <domain>, localhost.com, localhost

Schließlich ändern Sie die Dateien /etc/hostname und /etc/mailname in Ihren Domainnamen und starten Sie Ihren VPS neu.

Erstellen Sie nun einen DNS A-Eintrag von mail.<domain>, der auf die IP-Adresse des VPS zeigt, und einen DNS MX-Eintrag, der auf mail.<domain> zeigt.

Jetzt testen wir, um eine E-Mail zu senden:

bash
apt install mailutils
echo "This is the body of the email" | mail -s "This is the subject line" test@email.com

Gophish-Konfiguration

Stoppen Sie die Ausführung von gophish und lassen Sie uns es konfigurieren.
Ändern Sie /opt/gophish/config.json wie folgt (beachten Sie die Verwendung von https):

bash
{
"admin_server": {
"listen_url": "127.0.0.1:3333",
"use_tls": true,
"cert_path": "gophish_admin.crt",
"key_path": "gophish_admin.key"
},
"phish_server": {
"listen_url": "0.0.0.0:443",
"use_tls": true,
"cert_path": "/opt/gophish/ssl_keys/key.crt",
"key_path": "/opt/gophish/ssl_keys/key.pem"
},
"db_name": "sqlite3",
"db_path": "gophish.db",
"migrations_prefix": "db/db_",
"contact_address": "",
"logging": {
"filename": "",
"level": ""
}
}

Gophish-Dienst konfigurieren

Um den Gophish-Dienst zu erstellen, damit er automatisch gestartet und als Dienst verwaltet werden kann, können Sie die Datei /etc/init.d/gophish mit folgendem Inhalt erstellen:

bash
#!/bin/bash
# /etc/init.d/gophish
# initialization file for stop/start of gophish application server
#
# chkconfig: - 64 36
# description: stops/starts gophish application server
# processname:gophish
# config:/opt/gophish/config.json
# From https://github.com/gophish/gophish/issues/586

# define script variables

processName=Gophish
process=gophish
appDirectory=/opt/gophish
logfile=/var/log/gophish/gophish.log
errfile=/var/log/gophish/gophish.error

start() {
echo 'Starting '${processName}'...'
cd ${appDirectory}
nohup ./$process >>$logfile 2>>$errfile &
sleep 1
}

stop() {
echo 'Stopping '${processName}'...'
pid=$(/bin/pidof ${process})
kill ${pid}
sleep 1
}

status() {
pid=$(/bin/pidof ${process})
if [["$pid" != ""| "$pid" != "" ]]; then
echo ${processName}' is running...'
else
echo ${processName}' is not running...'
fi
}

case $1 in
start|stop|status) "$1" ;;
esac

Den Dienst fertig konfigurieren und überprüfen, indem Sie:

bash
mkdir /var/log/gophish
chmod +x /etc/init.d/gophish
update-rc.d gophish defaults
#Check the service
service gophish start
service gophish status
ss -l | grep "3333\|443"
service gophish stop

Konfigurieren des Mailservers und der Domain

Warten & legitim sein

Je älter eine Domain ist, desto unwahrscheinlicher ist es, dass sie als Spam erkannt wird. Daher sollten Sie so viel Zeit wie möglich warten (mindestens 1 Woche) vor der Phishing-Bewertung. Darüber hinaus wird die Reputation besser sein, wenn Sie eine Seite über einen reputationswürdigen Sektor erstellen.

Beachten Sie, dass Sie, auch wenn Sie eine Woche warten müssen, jetzt alles konfigurieren können.

Konfigurieren des Reverse DNS (rDNS) Eintrags

Setzen Sie einen rDNS (PTR) Eintrag, der die IP-Adresse des VPS auf den Domainnamen auflöst.

Sender Policy Framework (SPF) Eintrag

Sie müssen einen SPF-Eintrag für die neue Domain konfigurieren. Wenn Sie nicht wissen, was ein SPF-Eintrag ist, lesen Sie diese Seite.

Sie können https://www.spfwizard.net/ verwenden, um Ihre SPF-Richtlinie zu generieren (verwenden Sie die IP der VPS-Maschine).

Dies ist der Inhalt, der in einem TXT-Eintrag innerhalb der Domain gesetzt werden muss:

bash
v=spf1 mx a ip4:ip.ip.ip.ip ?all

Domain-based Message Authentication, Reporting & Conformance (DMARC) Record

Sie müssen einen DMARC-Eintrag für die neue Domain konfigurieren. Wenn Sie nicht wissen, was ein DMARC-Eintrag ist, lesen Sie diese Seite.

Sie müssen einen neuen DNS TXT-Eintrag erstellen, der auf den Hostnamen _dmarc.<domain> mit folgendem Inhalt zeigt:

bash
v=DMARC1; p=none

DomainKeys Identified Mail (DKIM)

Sie müssen ein DKIM für die neue Domain konfigurieren. Wenn Sie nicht wissen, was ein DMARC-Eintrag ist, lesen Sie diese Seite.

Dieses Tutorial basiert auf: https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy

tip

Sie müssen beide B64-Werte, die der DKIM-Schlüssel generiert, verketten:

v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0wPibdqPtzYk81njjQCrChIcHzxOp8a1wjbsoNtka2X9QXCZs+iXkvw++QsWDtdYu3q0Ofnr0Yd/TmG/Y2bBGoEgeE+YTUG2aEgw8Xx42NLJq2D1pB2lRQPW4IxefROnXu5HfKSm7dyzML1gZ1U0pR5X4IZCH0wOPhIq326QjxJZm79E1nTh3xj" "Y9N/Dt3+fVnIbMupzXE216TdFuifKM6Tl6O/axNsbswMS1TH812euno8xRpsdXJzFlB9q3VbMkVWig4P538mHolGzudEBg563vv66U8D7uuzGYxYT4WS8NVm3QBMg0QKPWZaKp+bADLkOSB9J2nUpk4Aj9KB5swIDAQAB

Testen Sie Ihre E-Mail-Konfigurationsbewertung

Sie können das mit https://www.mail-tester.com/ tun.
Zugreifen Sie einfach auf die Seite und senden Sie eine E-Mail an die Adresse, die sie Ihnen geben:

bash
echo "This is the body of the email" | mail -s "This is the subject line" test-iimosa79z@srv1.mail-tester.com

Sie können auch Ihre E-Mail-Konfiguration überprüfen, indem Sie eine E-Mail an check-auth@verifier.port25.com senden und die Antwort lesen (dafür müssen Sie Port 25 öffnen und die Antwort in der Datei /var/mail/root sehen, wenn Sie die E-Mail als root senden).
Überprüfen Sie, ob Sie alle Tests bestehen:

bash
==========================================================
Summary of Results
==========================================================
SPF check:          pass
DomainKeys check:   neutral
DKIM check:         pass
Sender-ID check:    pass
SpamAssassin check: ham

Sie könnten auch eine Nachricht an ein Gmail unter Ihrer Kontrolle senden und die E-Mail-Header in Ihrem Gmail-Posteingang überprüfen. dkim=pass sollte im Authentication-Results Headerfeld vorhanden sein.

Authentication-Results: mx.google.com;
spf=pass (google.com: domain of contact@example.com designates --- as permitted sender) smtp.mail=contact@example.com;
dkim=pass header.i=@example.com;

Entfernen von der Spamhouse-Blacklist

Die Seite www.mail-tester.com kann Ihnen anzeigen, ob Ihre Domain von Spamhouse blockiert wird. Sie können anfordern, dass Ihre Domain/IP entfernt wird unter: ​https://www.spamhaus.org/lookup/

Entfernen von der Microsoft-Blacklist

​​Sie können anfordern, dass Ihre Domain/IP entfernt wird unter https://sender.office.com/.

Erstellen & Starten einer GoPhish-Kampagne

Versandprofil

  • Setzen Sie einen Namen zur Identifizierung des Absenderprofils
  • Entscheiden Sie, von welchem Konto Sie die Phishing-E-Mails senden werden. Vorschläge: noreply, support, servicedesk, salesforce...
  • Sie können den Benutzernamen und das Passwort leer lassen, aber stellen Sie sicher, dass Sie die Option "Zertifikatfehler ignorieren" aktivieren.

tip

Es wird empfohlen, die Funktion "Test-E-Mail senden" zu verwenden, um zu testen, ob alles funktioniert.
Ich würde empfehlen, die Test-E-Mails an 10min-Mail-Adressen zu senden, um zu vermeiden, dass Sie beim Testen auf die Blacklist gesetzt werden.

E-Mail-Vorlage

  • Setzen Sie einen Namen zur Identifizierung der Vorlage
  • Schreiben Sie dann einen Betreff (nichts Ungewöhnliches, nur etwas, das Sie in einer regulären E-Mail erwarten würden)
  • Stellen Sie sicher, dass Sie "Tracking-Bild hinzufügen" aktiviert haben
  • Schreiben Sie die E-Mail-Vorlage (Sie können Variablen wie im folgenden Beispiel verwenden):
html
<html>
<head>
<title></title>
</head>
<body>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:&quot;Verdana&quot;,sans-serif;color:black">Dear {{.FirstName}} {{.LastName}},</span></p>
<br />
Note: We require all user to login an a very suspicios page before the end of the week, thanks!<br />
<br />
Regards,</span></p>

WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY

<p>{{.Tracker}}</p>
</body>
</html>

Beachten Sie, dass um die Glaubwürdigkeit der E-Mail zu erhöhen, empfohlen wird, eine Signatur aus einer E-Mail des Kunden zu verwenden. Vorschläge:

  • Senden Sie eine E-Mail an eine nicht existierende Adresse und überprüfen Sie, ob die Antwort eine Signatur enthält.
  • Suchen Sie nach öffentlichen E-Mails wie info@ex.com oder press@ex.com oder public@ex.com und senden Sie ihnen eine E-Mail und warten Sie auf die Antwort.
  • Versuchen Sie, eine gültige entdeckte E-Mail zu kontaktieren und warten Sie auf die Antwort.

tip

Die E-Mail-Vorlage ermöglicht es auch, Dateien anzuhängen. Wenn Sie auch NTLM-Herausforderungen stehlen möchten, indem Sie speziell gestaltete Dateien/Dokumente verwenden, lesen Sie diese Seite.

Landing Page

  • Schreiben Sie einen Namen
  • Schreiben Sie den HTML-Code der Webseite. Beachten Sie, dass Sie Webseiten importieren können.
  • Aktivieren Sie Erfasste übermittelte Daten und Erfasste Passwörter
  • Setzen Sie eine Weiterleitung

tip

Normalerweise müssen Sie den HTML-Code der Seite ändern und einige Tests lokal durchführen (vielleicht mit einem Apache-Server), bis Ihnen die Ergebnisse gefallen. Schreiben Sie dann diesen HTML-Code in das Feld.
Beachten Sie, dass Sie, wenn Sie statische Ressourcen für das HTML verwenden müssen (vielleicht einige CSS- und JS-Seiten), diese in /opt/gophish/static/endpoint speichern können und dann von /static/<dateiname> darauf zugreifen können.

tip

Für die Weiterleitung könnten Sie die Benutzer zur legitimen Hauptwebseite des Opfers umleiten oder sie beispielsweise zu /static/migration.html umleiten, eine Ladeanimation (https://loading.io/) für 5 Sekunden anzeigen und dann angeben, dass der Prozess erfolgreich war.

Benutzer & Gruppen

  • Setzen Sie einen Namen
  • Importieren Sie die Daten (beachten Sie, dass Sie für die Verwendung der Vorlage für das Beispiel den Vornamen, Nachnamen und die E-Mail-Adresse jedes Benutzers benötigen)

Kampagne

Erstellen Sie schließlich eine Kampagne, indem Sie einen Namen, die E-Mail-Vorlage, die Landing Page, die URL, das Versandprofil und die Gruppe auswählen. Beachten Sie, dass die URL der Link ist, der an die Opfer gesendet wird.

Beachten Sie, dass das Versandprofil es ermöglicht, eine Test-E-Mail zu senden, um zu sehen, wie die endgültige Phishing-E-Mail aussieht:

tip

Ich würde empfehlen, die Test-E-Mails an 10min-Mail-Adressen zu senden, um zu vermeiden, dass Sie beim Testen auf eine schwarze Liste gesetzt werden.

Sobald alles bereit ist, starten Sie einfach die Kampagne!

Website-Klonen

Wenn Sie aus irgendeinem Grund die Website klonen möchten, überprüfen Sie die folgende Seite:

Clone a Website

Hintertür-Dokumente & -Dateien

In einigen Phishing-Bewertungen (hauptsächlich für Red Teams) möchten Sie möglicherweise auch Dateien mit einer Art Hintertür senden (vielleicht ein C2 oder einfach etwas, das eine Authentifizierung auslöst).
Überprüfen Sie die folgende Seite für einige Beispiele:

Phishing Files & Documents

Phishing MFA

Über Proxy MitM

Der vorherige Angriff ist ziemlich clever, da Sie eine echte Website fälschen und die Informationen sammeln, die der Benutzer eingibt. Leider, wenn der Benutzer das richtige Passwort nicht eingegeben hat oder wenn die gefälschte Anwendung mit 2FA konfiguriert ist, erlaubt Ihnen diese Information nicht, den getäuschten Benutzer zu impersonieren.

Hier sind Tools wie evilginx2, CredSniper und muraena nützlich. Dieses Tool ermöglicht es Ihnen, einen MitM-ähnlichen Angriff zu generieren. Grundsätzlich funktioniert der Angriff wie folgt:

  1. Sie imitieren das Anmeldeformular der echten Webseite.
  2. Der Benutzer sendet seine Anmeldeinformationen an Ihre gefälschte Seite und das Tool sendet diese an die echte Webseite, um zu überprüfen, ob die Anmeldeinformationen funktionieren.
  3. Wenn das Konto mit 2FA konfiguriert ist, wird die MitM-Seite danach fragen, und sobald der Benutzer es eingibt, sendet das Tool es an die echte Webseite.
  4. Sobald der Benutzer authentifiziert ist, haben Sie (als Angreifer) die Anmeldeinformationen, die 2FA, das Cookie und alle Informationen jeder Interaktion erfasst, während das Tool einen MitM durchführt.

Über VNC

Was wäre, wenn Sie anstelle von den Opfern auf eine bösartige Seite mit dem gleichen Aussehen wie die Originalseite zu senden, sie zu einer VNC-Sitzung mit einem Browser, der mit der echten Webseite verbunden ist, senden? Sie können sehen, was er tut, das Passwort stehlen, die verwendete MFA, die Cookies...
Sie können dies mit EvilnVNC tun.

Erkennung der Erkennung

Offensichtlich ist eine der besten Möglichkeiten zu wissen, ob Sie enttarnt wurden, Ihre Domain in schwarzen Listen zu durchsuchen. Wenn sie aufgeführt ist, wurde Ihre Domain irgendwie als verdächtig erkannt.
Eine einfache Möglichkeit zu überprüfen, ob Ihre Domain in einer schwarzen Liste erscheint, ist die Verwendung von https://malwareworld.com/.

Es gibt jedoch auch andere Möglichkeiten zu wissen, ob das Opfer aktiv nach verdächtigen Phishing-Aktivitäten in der Wildnis sucht, wie in:

Detecting Phishing

Sie können eine Domain mit einem sehr ähnlichen Namen zur Domain des Opfers kaufen und/oder ein Zertifikat für einen Subdomain einer von Ihnen kontrollierten Domain erstellen, die das Schlüsselwort der Domain des Opfers enthält. Wenn das Opfer irgendeine Art von DNS- oder HTTP-Interaktion mit ihnen durchführt, wissen Sie, dass es aktiv nach verdächtigen Domains sucht und Sie sehr stealthy sein müssen.

Phishing bewerten

Verwenden Sie Phishious, um zu bewerten, ob Ihre E-Mail im Spam-Ordner endet oder ob sie blockiert oder erfolgreich ist.

High-Touch Identitätskompromittierung (Help-Desk MFA-Reset)

Moderne Eindringlingssets überspringen zunehmend ganz auf E-Mail-Ablenkungen und zielen direkt auf den Service-Desk / Identitätswiederherstellungs-Workflow, um MFA zu umgehen. Der Angriff ist vollständig "living-off-the-land": Sobald der Betreiber gültige Anmeldeinformationen besitzt, wechselt er mit integrierten Admin-Tools – Malware ist nicht erforderlich.

Angriffsfluss

  1. Recon der Zielperson
  • Ernten Sie persönliche und Unternehmensdetails von LinkedIn, Datenpannen, öffentlichem GitHub usw.
  • Identifizieren Sie hochkarätige Identitäten (Führungskräfte, IT, Finanzen) und enumerieren Sie den genauen Help-Desk-Prozess für Passwort-/MFA-Reset.
  1. Echtzeit-Sozialtechnik
  • Rufen Sie den Help-Desk an, verwenden Sie Teams oder chatten Sie, während Sie das Ziel impersonieren (oft mit gefälschtem Anrufer-ID oder klonierter Stimme).
  • Geben Sie die zuvor gesammelten PII an, um die wissensbasierte Verifizierung zu bestehen.
  • Überzeugen Sie den Agenten, das MFA-Geheimnis zurückzusetzen oder einen SIM-Swap auf einer registrierten Mobilnummer durchzuführen.
  1. Sofortige Nach-Zugriffsaktionen (≤60 Minuten in echten Fällen)
  • Stellen Sie einen Zugang über ein beliebiges Web-SSO-Portal her.
  • Enumerieren Sie AD / AzureAD mit integrierten Funktionen (keine Binärdateien abgelegt):
powershell
# list directory groups & privileged roles
Get-ADGroup -Filter * -Properties Members | ?{$_.Members -match $env:USERNAME}

# AzureAD / Graph – list directory roles
Get-MgDirectoryRole | ft DisplayName,Id

# Enumerate devices the account can login to
Get-MgUserRegisteredDevice -UserId <user@corp.local>
  • Laterale Bewegung mit WMI, PsExec oder legitimen RMM-Agenten, die bereits in der Umgebung auf die Whitelist gesetzt sind.

Erkennung & Minderung

  • Behandeln Sie die Identitätswiederherstellung des Help-Desks als privilegierte Operation – erfordern Sie eine Authentifizierung und die Genehmigung des Managers.
  • Implementieren Sie Identity Threat Detection & Response (ITDR) / UEBA-Regeln, die alarmieren bei:
  • MFA-Methode geändert + Authentifizierung von neuem Gerät / Geo.
  • Sofortige Erhöhung des gleichen Prinzips (Benutzer-→-Admin).
  • Zeichnen Sie Help-Desk-Anrufe auf und erzwingen Sie einen Rückruf an eine bereits registrierte Nummer, bevor ein Reset erfolgt.
  • Implementieren Sie Just-In-Time (JIT) / Privileged Access, sodass neu zurückgesetzte Konten nicht automatisch hochprivilegierte Tokens erben.

In großem Maßstab Täuschung – SEO-Vergiftung & “ClickFix”-Kampagnen

Commodity-Teams kompensieren die Kosten für hochgradige Operationen mit Massangriffen, die Suchmaschinen & Werbenetzwerke in den Lieferkanal verwandeln.

  1. SEO-Vergiftung / Malvertising drängt ein gefälschtes Ergebnis wie chromium-update[.]site an die Spitze der Suchanzeigen.
  2. Das Opfer lädt einen kleinen First-Stage-Loader (oft JS/HTA/ISO) herunter. Beispiele, die von Unit 42 gesehen wurden:
  • RedLine stealer
  • Lumma stealer
  • Lampion Trojan
  1. Der Loader exfiltriert Browser-Cookies + Anmeldeinformationen-Datenbanken und zieht dann einen stillen Loader, der entscheidet – in Echtzeit – ob er bereitstellt:
  • RAT (z.B. AsyncRAT, RustDesk)
  • Ransomware / Wiper
  • Persistenzkomponente (Registry Run-Schlüssel + geplanter Task)

Tipps zur Härtung

  • Blockieren Sie neu registrierte Domains und erzwingen Sie Advanced DNS / URL Filtering für Suchanzeigen sowie E-Mails.
  • Beschränken Sie die Softwareinstallation auf signierte MSI / Store-Pakete, verweigern Sie die Ausführung von HTA, ISO, VBS durch Richtlinie.
  • Überwachen Sie Kindprozesse von Browsern, die Installer öffnen:
yaml
- parent_image: /Program Files/Google/Chrome/*
and child_image: *\\*.exe
  • Suchen Sie nach LOLBins, die häufig von First-Stage-Loadern missbraucht werden (z.B. regsvr32, curl, mshta).

KI-verbesserte Phishing-Operationen

Angreifer verknüpfen jetzt LLM & Voice-Clone-APIs für vollständig personalisierte Ablenkungen und Echtzeit-Interaktion.

SchichtBeispielverwendung durch Bedrohungsakteure
AutomatisierungGenerieren & senden >100 k E-Mails / SMS mit randomisierten Formulierungen & Tracking-Links.
Generative KIProduzieren einmalige E-Mails, die auf öffentliche M&A, Insider-Witze aus sozialen Medien verweisen; Deep-Fake-CEO-Stimme im Rückrufbetrug.
Agentic KIAutonom Domains registrieren, Open-Source-Intelligenz scrapen, nächste Stufe E-Mails erstellen, wenn ein Opfer klickt, aber keine Anmeldeinformationen übermittelt.

Verteidigung: • Fügen Sie dynamische Banner hinzu, die Nachrichten hervorheben, die von untrusted Automation gesendet werden (über ARC/DKIM-Anomalien). • Implementieren Sie stimm-biometrische Herausforderungsphrasen für risikobehaftete Telefonanfragen. • Simulieren Sie kontinuierlich KI-generierte Ablenkungen in Awareness-Programmen – statische Vorlagen sind obsolet.

MFA-Müdigkeit / Push-Bombing-Variante – Zwangsreset

Neben klassischem Push-Bombing zwingen Betreiber einfach eine neue MFA-Registrierung während des Help-Desk-Anrufs, wodurch das bestehende Token des Benutzers ungültig wird. Jede nachfolgende Anmeldeaufforderung erscheint dem Opfer legitim.

text
[Attacker]  →  Help-Desk:  “I lost my phone while travelling, can you unenrol it so I can add a new authenticator?”
[Help-Desk] →  AzureAD: ‘Delete existing methods’ → sends registration e-mail
[Attacker]  →  Completes new TOTP enrolment on their own device

Überwachen Sie AzureAD/AWS/Okta-Ereignisse, bei denen deleteMFA + addMFA innerhalb von Minuten von derselben IP auftreten.

Clipboard Hijacking / Pastejacking

Angreifer können heimlich bösartige Befehle in die Zwischenablage des Opfers von einer kompromittierten oder typosquatted Webseite kopieren und dann den Benutzer dazu bringen, sie in Win + R, Win + X oder ein Terminalfenster einzufügen, wodurch beliebiger Code ohne Download oder Anhang ausgeführt wird.

Clipboard Hijacking

Mobile Phishing & Verbreitung bösartiger Apps (Android & iOS)

Mobile Phishing Malicious Apps

Referenzen

tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks