หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

ชุดเครื่องมือ o365-attack-toolkit คืออะไร

o365-attack-toolkit ช่วยให้ผู้ปฏิบัติงานทำการโจมตีแบบฟิชชิ่งได้

เราตัดสินใจเปลี่ยนจากคำจำกัดความคงที่แบบเก่าไปเป็นแบบ "โต้ตอบ" อย่างสมบูรณ์กับบัญชีแบบเรียลไทม์

การเปลี่ยนแปลงบางส่วน

  • การค้นหาอีเมลแบบโต้ตอบ - ช่วยให้คุณสามารถค้นหาอีเมลของผู้ใช้ได้เช่นเดียวกับที่คุณสามารถเข้าถึงได้เต็มรูปแบบ
  • ส่งอีเมล - ช่วยให้คุณสามารถส่งอีเมล HTML/TEXT พร้อมไฟล์แนบจากเมลบ็อกซ์ของผู้ใช้
  • การค้นหาและดาวน์โหลดไฟล์แบบโต้ตอบ - ช่วยให้คุณสามารถค้นหาไฟล์โดยใช้คำหลักเฉพาะและดาวน์โหลดแบบออฟไลน์
  • การเปลี่ยนไฟล์ - นำไปใช้เพื่อแทนที่ฟังก์ชันแบ็คดอร์ของมาโคร

สถาปัตยกรรม

ชุดเครื่องมือประกอบด้วยส่วนประกอบหลายอย่าง

ปลายทางฟิชชิ่ง

ตำแหน่งข้อมูลฟิชชิ่งมีหน้าที่รับผิดชอบในการให้บริการไฟล์ HTML ที่ดำเนินการฟิชชิ่งโทเค็น OAuth

บริการแบ็กเอนด์

หลังจากนั้นบริการแบ็คเอนด์จะใช้โทเค็นเพื่อทำการโจมตีที่กำหนดไว้

อินเตอร์เฟซการจัดการ

อินเทอร์เฟซการจัดการสามารถใช้เพื่อตรวจสอบข้อมูลที่แยกมาจาก Microsoft Graph API

คุณสมบัติ

การค้นหาอีเมลแบบโต้ตอบ

สามารถเข้าถึงอีเมลของผู้ใช้ได้โดยการค้นหาคำสำคัญเฉพาะโดยใช้อินเทอร์เฟซการจัดการ คุณลักษณะเก่าของการดาวน์โหลดอีเมลคำสำคัญได้ถูกยกเลิกแล้ว

ส่งอีเมล

เครื่องมือเวอร์ชันใหม่นี้ช่วยให้คุณสามารถส่งอีเมล HTML/TXT รวมถึงไฟล์แนบไปยังที่อยู่อีเมลเฉพาะจากผู้ใช้ที่ถูกโจมตีได้ คุณลักษณะนี้มีประโยชน์อย่างมาก เนื่องจากการส่งอีเมลแบบฟิชชิ่งจากผู้ใช้มีความน่าเชื่อถือมากกว่า

ค้นหาไฟล์

Microsoft Graph API สามารถใช้เพื่อเข้าถึงไฟล์ผ่าน OneDrive, OneDrive for Business และไลบรารีเอกสาร SharePoint ไฟล์ผู้ใช้สามารถค้นหาและดาวน์โหลดไฟล์แบบโต้ตอบได้โดยใช้อินเทอร์เฟซการจัดการ คุณลักษณะเก่าของการดาวน์โหลดไฟล์คำสำคัญได้ถูกยกเลิกแล้ว

การเปลี่ยนเอกสาร

เอกสารผู้ใช้ที่โฮสต์บน OneDrive/Sharepoint สามารถแก้ไขได้โดยใช้ Graph API ในเวอร์ชันเริ่มต้นของชุดเครื่องมือนี้ ไฟล์ 10 ไฟล์สุดท้ายจะถูกแบ็คดอร์ด้วยมาโครที่กำหนดไว้ล่วงหน้า นี่เป็นความเสี่ยงระหว่างปฏิบัติการของทีมแดง จึงมีการใช้งานที่จำกัด ด้วยเหตุนี้ เราจึงได้ใช้คุณลักษณะการแทนที่ไฟล์ด้วยตนเองเพื่อให้สามารถควบคุมการโจมตีได้มากขึ้น

วิธีการตั้งค่า

รวบรวม 

 cd %GOPATH%
git clone https://github.com/mdsecactivebreach/o365-attack-toolkit
cd o365-attack-toolkit
dep ensure
go build

การกำหนดค่า

ตัวอย่างการกำหนดค่าดังต่อไปนี้: 

 [server]
host = 127.0.0.1
externalport = 30662
internalport = 8080


[oauth]
clientid = [REDACTED]
clientsecret = [REDACTED]
scope = "offline_access contacts.read user.read mail.read mail.send files.readWrite.all files.read files.read.all openid profile"
redirecturi = "http://localhost:30662/gettoken"

การปรับใช้

ก่อนที่จะเริ่มใช้ชุดเครื่องมือนี้ คุณต้องสร้างแอปพลิเคชันบนพอร์ทัล Azure ก่อน ไปที่ Azure Active Directory -> การลงทะเบียนแอป -> ลงทะเบียนแอปพลิเคชัน

หลังจากสร้างแอปพลิเคชันแล้ว ให้คัดลอก ID แอปพลิเคชันในไฟล์การกำหนดค่า

คุณต้องสร้างรหัสลับไคลเอ็นต์ซึ่งสามารถทำได้ดังที่แสดงในภาพต่อไปนี้:

อัพเดตความลับไคลเอ็นต์ในไฟล์คอนฟิกูเรชัน

อินเตอร์เฟซการจัดการ

อินเทอร์เฟซการจัดการช่วยให้ผู้ปฏิบัติงานสามารถโต้ตอบกับผู้ใช้ที่ถูกบุกรุกได้

ผู้ใช้ดู

ค้นหาอีเมลของผู้ใช้

ดูอีเมล

ส่งอีเมล์

ค้นหาไฟล์

แทนที่ไฟล์

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด