BlackShadow-arch/C2_Frameworks_Phishing_Infrastructure

# 📡 第 10 周 — C2 框架与钓鱼基础设施 **实习生：** Ali Ahsan | **学号：** CSI-B1-427 **项目：** Cyberstar 网络安全红队实习 **导师：** Umar Niaz **日期：** 2026 年 5 月 13 日 **环境：** Kali Linux + Windows VM（仅主机网络） ## 📌 概述 本周涵盖了现代攻击者基础设施 —— 部署 Command & Control 框架、将文档武器化以进行 payload 投递、构建钓鱼活动平台，以及分析用于检测和防止欺骗的电子邮件身份验证协议。 ## 🧪 涵盖任务 ### 任务 01 — Sliver C2 框架部署 **Sliver** 是一个开源的 C2 框架，支持 HTTP、HTTPS、DNS 和 mTLS 通信。 **安装与设置：** ``` # 修复权限并创建 symlink chmod +x sliver-server ln -s /path/to/sliver-server /usr/local/bin/sliver-server # 修复 service 文件后重新加载 daemon sudo systemctl daemon-reload sudo systemctl start sliver ``` **HTTP Listener 配置：** ``` http -L 8080 # Listener on port 8080 jobs # Verify listener running ``` **展示的功能：** - Beacon 通信 - Session 处理 - 远程命令执行 - 多 Session 管理 - 加密的 HTTP 通信 ### 任务 02 — Payload 武器化技术 **VBA 宏 (Word .docm)：** - 创建了带有 `AutoOpen()` 函数的启用宏的 Word 文档 - 打开文档时自动触发 —— 除了启用宏之外不需要用户交互 **LNK 快捷方式执行：** - 创建 Windows `.LNK` 快捷方式文件，在看起来无害的同时执行命令 - 演示了 GUI 和命令行生成方法 **HTML Smuggling：** - Payload 直接编码在 HTML/JavaScript 中 - 在浏览器端客户端重构 —— 绕过电子邮件安全过滤器 ### 任务 03 — GoPhish 钓鱼基础设施 **GoPhish** 是一个开源的钓鱼模拟框架。 ``` # 启动 GoPhish ./gophish # 访问 dashboard: https://127.0.0.1:3333 ``` **构建的活动组件：** - 使用紧迫感 + 权威性社会工程学原则的电子邮件模板 - 克隆的身份验证着陆页（凭据收集门户） - 目标组配置 - SMTP 发送配置文件 **面板指标：** 电子邮件发送状态、打开率、点击追踪、用户提交数据。 ### 任务 04 — 电子邮件安全与 SMTP 分析 | 协议 | 用途 | |----------|---------| | **SPF** | 验证发送邮件服务器是否已获得该域名的授权 | | **DKIM** | 加密签名确保邮件完整性 | | **DMARC** | 结合 SPF + DKIM → 强制执行拒绝/隔离策略 | **Typosquatting 示例：** - `goggle.com`, `googlle.com`, `go0gle.com` **同形异义字攻击 (Homograph Attacks)：** 使用视觉上完全相同的西里尔/希腊 Unicode 字符替换拉丁字母 —— 恶意域名看起来与合法域名一模一样。 ## 🛡️ 安全建议 - 在所有组织域名上强制执行 SPF、DKIM 和 DMARC - 通过组策略禁用 Office 宏 - 定期进行钓鱼意识培训 - 监控 Typosquatting 域名注册 - 部署安全的电子邮件网关和 endpoint 保护 - 实施 Multi-Factor Authentication ## 🛠️ 使用的工具 `Sliver C2` · `GoPhish` · `Swaks` · `msfvenom` · `Microsoft Word (VBA)` ## ⚠️ 免责声明

标签：DNS 反向解析, GoPhish, IP 地址批量处理, Sliver, Web安全, 免杀载荷, 命令与控制(C2), 多模态安全, 搜索语句（dork）, 数据可视化, 蓝队分析