Beranda>Terkait pemrograman>Kode sumber lainnya
Unduh

Apa itu toolkit serangan o365

o365-serangan-toolkit memungkinkan operator melakukan serangan phishing oauth.

Kami memutuskan untuk beralih dari model lama definisi statis ke sepenuhnya "interaktif" dengan akun secara real-time.

Beberapa perubahan

  • Pencarian Email Interaktif - Memungkinkan Anda mencari email pengguna seolah-olah Anda memiliki akses penuh ke email tersebut.
  • Kirim email - Memungkinkan Anda mengirim email HTML/TEKS dengan lampiran dari kotak surat pengguna.
  • Pencarian dan Pengunduhan File Interaktif - Memungkinkan Anda mencari file menggunakan kata kunci tertentu dan mengunduhnya secara offline.
  • Penggantian File - Diimplementasikan sebagai pengganti fungsi pintu belakang makro.

Arsitektur

Toolkit ini terdiri dari beberapa komponen

Titik akhir phishing

Titik akhir phishing bertanggung jawab untuk menyajikan file HTML yang melakukan phishing token OAuth.

Layanan ujung belakang

Setelah itu, token tersebut akan digunakan oleh layanan backend untuk melakukan serangan yang ditentukan.

Antarmuka manajemen

Antarmuka manajemen dapat digunakan untuk memeriksa informasi yang diekstraksi dari Microsoft Graph API.

Fitur

Pencarian Email Interaktif

Email pengguna dapat diakses dengan mencari kata kunci tertentu menggunakan antarmuka manajemen. Fitur lama untuk mengunduh email dengan kata kunci telah dihentikan.

Kirim Email

Versi baru alat ini memungkinkan Anda mengirim email HTML/TXT, termasuk lampiran ke alamat email tertentu dari pengguna yang disusupi. Fitur ini sangat berguna karena pengiriman email spear-phishing dari pengguna lebih dapat dipercaya.

Pencarian Berkas

Microsoft Graph API dapat digunakan untuk mengakses file di pustaka dokumen OneDrive, OneDrive for Business, dan SharePoint. File pengguna dapat dicari dan diunduh secara interaktif menggunakan antarmuka manajemen. Fitur lama untuk mengunduh file dengan kata kunci telah dihentikan.

Penggantian Dokumen

Dokumen pengguna yang dihosting di OneDrive/Sharepoint dapat dimodifikasi dengan menggunakan Graph API. Pada versi awal toolkit ini, 10 file terakhir akan di-backdoor dengan makro yang telah ditentukan sebelumnya. Ini berisiko selama operasi Tim Merah sehingga penggunaannya terbatas. Karena alasan ini, kami menerapkan fitur penggantian file manual untuk memiliki kontrol lebih besar terhadap serangan tersebut.

Bagaimana cara mengaturnya

Menyusun 

 cd %GOPATH%
git clone https://github.com/mdsecactivebreach/o365-attack-toolkit
cd o365-attack-toolkit
dep ensure
go build

Konfigurasi

Contoh konfigurasinya seperti dibawah ini : 

 [server]
host = 127.0.0.1
externalport = 30662
internalport = 8080


[oauth]
clientid = [REDACTED]
clientsecret = [REDACTED]
scope = "offline_access contacts.read user.read mail.read mail.send files.readWrite.all files.read files.read.all openid profile"
redirecturi = "http://localhost:30662/gettoken"

Penyebaran

Sebelum mulai menggunakan toolkit ini, Anda perlu membuat Aplikasi di Portal Azure. Buka Azure Active Directory -> Pendaftaran Aplikasi -> Daftarkan aplikasi.

Setelah membuat aplikasi, salin ID Aplikasi di file konfigurasi.

Anda perlu membuat rahasia klien yang dapat dilakukan seperti yang ditunjukkan pada gambar berikut:

Perbarui rahasia klien pada file konfigurasi.

Antarmuka Manajemen

Antarmuka manajemen memungkinkan operator untuk berinteraksi dengan pengguna yang disusupi.

Tampilan Pengguna

Cari Email Pengguna

Lihat Email

Kirim Email

Cari File

Ganti File

Memperluas
Informasi Tambahan
Aplikasi Terkait
Direkomendasikan untuk Anda
Informasi Terkait Semua