conducting-spearphishing-simulation-campaign

执行鱼叉式钓鱼模拟活动

概述

鱼叉式钓鱼（Spearphishing）模拟是红队用于获取初始访问权限的定向社会工程学（Social Engineering）攻击向量。与广泛的钓鱼活动不同，鱼叉式钓鱼使用 OSINT 情报精心制作高度个性化的消息，针对特定个人。本技能涵盖开发借口、构建载荷、设置邮件基础设施、执行活动和跟踪结果。

目标

• 针对特定目标人员开发令人信服的借口
• 创建可绕过邮件安全控制的武器化载荷
• 使用正确的 SPF/DKIM/DMARC 配置建立邮件投递基础设施
• 执行具有实时跟踪和指标的钓鱼活动
• 记录结果用于演练报告和安全意识改进

MITRE ATT&CK 映射

• T1566.001 - 钓鱼：鱼叉式钓鱼附件
• T1566.002 - 钓鱼：鱼叉式钓鱼链接
• T1566.003 - 钓鱼：通过服务的鱼叉式钓鱼
• T1598.003 - 钓鱼信息：鱼叉式钓鱼链接
• T1204.001 - 用户执行：恶意链接
• T1204.002 - 用户执行：恶意文件
• T1608.001 - 暂存能力：上传恶意软件
• T1608.005 - 暂存能力：链接目标
• T1583.001 - 获取基础设施：域名
• T1585.002 - 建立账户：邮件账户

实施步骤

阶段一：借口开发

1. 审查目标人员的 OSINT 调查结果
2. 识别当前组织事件（合并、项目、新员工）
3. 选择借口主题（IT 服务台、HR 福利、供应商沟通、高管请求）
4. 制作带有适当紧迫感和权威提示的邮件模板
5. 创建与目标组织品牌匹配的着陆页

阶段二：载荷开发

1. 根据目标安全控制措施选择载荷类型：
   • HTML 走私（HTML smuggling），用于绕过邮件网关
   • 启用宏的文档（如果宏未被阻止）
   • 包含 LNK 载荷的 ISO/IMG 文件
   • 嵌入脚本的 OneNote 文件
   • 链接到凭据收割页面的 QR 码
2. 针对目标已知安全栈测试载荷
3. 实施载荷混淆技术
4. 配置到 C2 基础设施的回调

阶段三：基础设施设置

1. 注册令人信服的仿冒域名
2. 培育域名信誉（建议最少 2 周）
3. 配置 SPF、DKIM 和 DMARC 记录
4. 使用 GoPhish 或自定义邮件服务器设置 SMTP 中继
5. 部署带 SSL 证书的凭据收割页面
6. 配置跟踪像素和点击跟踪

阶段四：活动执行

1. 发送测试邮件以验证投递和渲染效果
2. 分批次启动活动（避免大量发送）
3. 实时监控邮件投递率和打开率
4. 跟踪链接点击和凭据提交
5. 向与钓鱼邮件互动的用户部署载荷
6. 捕获截图和证据用于报告

阶段五：活动后分析

1. 计算活动指标（投递率、打开率、点击率、凭据捕获率）
2. 识别向 SOC 举报钓鱼的用户
3. 记录绕过邮件安全控制的情况
4. 将成功入侵映射到 MITRE ATT&CK
5. 为演练报告汇编调查结果

工具与资源

工具	用途	许可证
GoPhish	钓鱼活动管理	开源
Evilginx2	带 MFA 绕过的实时凭据收割	开源
King Phisher	钓鱼活动工具包	开源
SET（社会工程学工具包）	多向量社会工程学	开源
Modlishka	反向代理钓鱼	开源
CredSniper	凭据收割框架	开源
Fierce Phish	钓鱼框架	开源

验证标准

• 借口已根据 OSINT 数据针对特定目标定制
• 载荷已针对邮件安全控制进行测试
• 基础设施已配置适当的邮件认证
• 活动已通过投递和交互指标进行跟踪
• 已为演练报告收集证据
• 活动结束后已清理基础设施