APT攻击之邮件伪造

1. 在cobaltstrike4客户端创建监听，名称为mail

 

 

2.在cobaltstrike4客户端中选择攻击模块>邮件钓鱼，来进行配置

 

 

 2.1.邮箱目标地址：在本地创建文件夹

 

2.2.填写为一个邮箱

 

 

 

2.3.邮件内容：导出自己邮箱的一份邮件，以.eml格式保存

 

 

2.4.将其中的发件人、发件时间和不重要的信息删除，伪造自己的邮件内容和发送人

 

 

3.附件：附件可以添加一个木马上去，按照邮箱的附件添加规律可以将添加了木马的.doc文件按或启用了宏，并带有宏病毒的.doc文件

 

4.钓鱼地址：可以是选择有病毒下载的远程目录，或者克隆网页等

 

 

 5.配置邮件服务

 

 

 默认是关闭的，要手动开启此功能（可能会有短信验证码验证，这是腾讯的安全过滤机制）

 

 

开启完成

 

 

 6.发送邮件：

 

发送成功，但是邮件中显示未填写发件人，因为在.eml文件中删掉了部分字段

 

 7.伪造发件人

在.eml文件中修改from字段，伪造为mahuateng

 

 

 

 显示发送成功，但是依旧显示未填写发件人，由xxx代发

 

 

 那么可能对方存在过滤或防御机制，但是邮件可以发送成功，说明允许匿名发送，此时如果对方点击了带有病毒的附件或点击了克隆网页，本地监听就会上线。