maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/generic-methodologies-and-resources/phishing-methodolog

Browse Source
This commit is contained in:
Translator 2025-08-05 03:14:46 +00:00
parent abc13836bc
commit 4b2ae35bc7
1 changed files with 129 additions and 41 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

170
src/generic-methodologies-and-resources/phishing-methodology/README.md
View File

@ -5,8 +5,8 @@
## 手法
1. 被害者の調査
1. **被害者ドメイン**を選択します。
2. 被害者が使用している**ログインポータル**を探すために基本的なウェブ列挙を行い、**なりすます**ポータルを**決定**します。
1. **被害者ドメイン**を選択します。
2. 被害者が使用している**ログインポータル**を探すために基本的なウェブ列挙を行い、**なりすます**ものを**決定**します。
3. **OSINT**を使用して**メールアドレス**を**見つけます**
2. 環境の準備
1. フィッシング評価に使用する**ドメインを購入**します。
@ -15,7 +15,7 @@
3. キャンペーンの準備
1. **メールテンプレート**を準備します。
2. 認証情報を盗むための**ウェブページ**を準備します。
4. キャンペーンを開始!
4. キャンペーンを開始します
## 類似のドメイン名を生成するか、信頼できるドメインを購入する
@ -33,10 +33,10 @@ homograph-attacks.md
- **単数化/複数化**: ドメイン名の末尾に「s」を追加または削除します例: zeltsers.com
- **省略**: ドメイン名から**1つの文字を削除します**(例: zelser.com
- **繰り返し**: ドメイン名内の**1つの文字を繰り返します**(例: zeltsser.com
- **置換**: ホモグリフに似ていますが、あまり目立ちません。ドメイン名の1つの文字を、元の文字の近くにある文字に置き換えます例: zektser.com
- **置換**: ホモグリフのようですが、あまり目立ちません。ドメイン名の1つの文字を、元の文字の近くにある文字に置き換えます例: zektser.com
- **サブドメイン化**: ドメイン名内に**ドットを挿入します**(例: ze.lster.com
- **挿入**: ドメイン名に**文字を挿入します**(例: zerltser.com
- **ドットの欠落**: ドメイン名にTLDを追加します(例: zelstercom.com
- **ドットの欠落**: TLDをドメイン名に追加します(例: zelstercom.com
**自動ツール**
@ -51,20 +51,20 @@ homograph-attacks.md
### ビットフリッピング
いくつかのビットが保存または通信中に自動的に**反転する可能性があります**。これは、太陽フレア、宇宙線、またはハードウェアエラーなどのさまざまな要因によるものです。
いくつかのビットが保存されているか通信中に**自動的に反転する可能性があります**。これは、太陽フレア、宇宙線、またはハードウェアエラーなどのさまざまな要因によるものです。
この概念が**DNSリクエストに適用されると**、**DNSサーバーによって受信されたドメイン**が最初にリクエストされたドメインと同じでない可能性があります。
この概念が**DNSリクエストに適用されると**、**DNSサーバーによって受信されたドメイン**が最初にリクエストされたドメインと同じでない可能性があります。
例えば、ドメイン「windows.com」の1ビットの変更により、「windnws.com」に変わることがあります。
例えば、ドメイン「windows.com」の1ビットの変更は「windnws.com」に変わる可能性があります。
攻撃者は、被害者のドメインに似た複数のビットフリッピングドメインを登録することで**これを利用する可能性があります**。彼らの意図は、正当なユーザーを自分たちのインフラにリダイレクトすることです。
詳細については、[こちらを読んでください](https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/)。
詳細については、[こちらをお読みください](https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/)。
### 信頼できるドメインを購入する
[https://www.expireddomains.net/](https://www.expireddomains.net)で使用できる期限切れのドメインを検索できます。\
購入する期限切れのドメインが**すでに良好なSEOを持っていることを確認するために**、以下のサイトでそのカテゴリを検索できます:
購入する期限切れのドメインが**すでに良好なSEOを持っていることを確認するために**、以下のサイトでそのカテゴリを確認できます:
- [http://www.fortiguard.com/webfilter](http://www.fortiguard.com/webfilter)
- [https://urlfiltering.paloaltonetworks.com/query/](https://urlfiltering.paloaltonetworks.com/query/)
@ -77,8 +77,8 @@ homograph-attacks.md
- [https://hunter.io/](https://hunter.io)
- [https://anymailfinder.com/](https://anymailfinder.com)
**さらに多くの**有効なメールアドレスを**発見するか、すでに発見したものを**確認するために、被害者のSMTPサーバーをブルートフォース攻撃できるか確認できます。[メールアドレスの確認/発見方法についてはこちらを学んでください](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration)。\
さらに、ユーザーが**メールにアクセスするためのウェブポータルを使用している場合**、それが**ユーザーのブルートフォース攻撃に対して脆弱かどうかを確認し、可能であればその脆弱性を悪用することを忘れないでください**。
**より多くの**有効なメールアドレスを**発見するか、すでに発見したものを確認するために**、被害者のSMTPサーバーをブルートフォース攻撃できるか確認できます。[メールアドレスの確認/発見方法についてはこちらを学んでください](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration)。\
さらに、ユーザーが**メールにアクセスするためのウェブポータルを使用している場合**、それが**ユーザーネームのブルートフォース攻撃に対して脆弱であるかどうかを確認し、可能であればその脆弱性を悪用することを忘れないでください**。
## GoPhishの設定
@ -130,7 +130,7 @@ cp "/etc/letsencrypt/live/$DOMAIN/fullchain.pem" /opt/gophish/ssl_keys/key.crt
次に、**DNS Aレコード** `mail.<domain>` をVPSの**IPアドレス**にポイントさせ、**DNS MX**レコードを `mail.<domain>` にポイントさせます。
次に、メールを送信するテストを行いましょう:
では、メールを送信するテストを行いましょう:
```bash
apt install mailutils
echo "This is the body of the email" | mail -s "This is the subject line" test@email.com
@ -212,7 +212,7 @@ case $1 in
start|stop|status) "$1" ;;
esac
```
サービスの設定を完了し、次の手順を実行して確認します:
サービスの設定を完了し、次の操作を行って確認します:
```bash
mkdir /var/log/gophish
chmod +x /etc/init.d/gophish
@ -259,10 +259,10 @@ v=DMARC1; p=none
新しいドメインのために**DKIMを設定する必要があります**。DMARCレコードが何か分からない場合は、[**このページを読んでください**](../../network-services-pentesting/pentesting-smtp/index.html#dkim)。
このチュートリアルは次に基づいています: [https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy](https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy)
このチュートリアルは[https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy](https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy)に基づいています。
> [!TIP]
> DKIMキーが生成する両方のB64値を連結する必要があります:
> DKIMキーが生成する両方のB64値を連結する必要があります
>
> ```
> v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0wPibdqPtzYk81njjQCrChIcHzxOp8a1wjbsoNtka2X9QXCZs+iXkvw++QsWDtdYu3q0Ofnr0Yd/TmG/Y2bBGoEgeE+YTUG2aEgw8Xx42NLJq2D1pB2lRQPW4IxefROnXu5HfKSm7dyzML1gZ1U0pR5X4IZCH0wOPhIq326QjxJZm79E1nTh3xj" "Y9N/Dt3+fVnIbMupzXE216TdFuifKM6Tl6O/axNsbswMS1TH812euno8xRpsdXJzFlB9q3VbMkVWig4P538mHolGzudEBg563vv66U8D7uuzGYxYT4WS8NVm3QBMg0QKPWZaKp+bADLkOSB9J2nUpk4Aj9KB5swIDAQAB
@ -271,11 +271,11 @@ v=DMARC1; p=none
### メール設定スコアをテストする
[https://www.mail-tester.com/](https://www.mail-tester.com)を使用してそれを行うことができます。\
ページにアクセスして、彼らが提供するアドレスにメールを送信してください:
ページにアクセスして、彼らが提供するアドレスにメールを送信してください
```bash
echo "This is the body of the email" | mail -s "This is the subject line" test-iimosa79z@srv1.mail-tester.com
```
あなたはまた、**メール設定を確認する**ために `check-auth@verifier.port25.com` にメールを送信し、**レスポンスを読む**ことができます(これには、**ポート25を開く**必要があり、メールをrootとして送信した場合はファイル _/var/mail/root_レスポンスを確認します)。\
あなたはまた、**メール設定を確認する**ために `check-auth@verifier.port25.com` にメールを送信し、**応答を読む**ことができます(これには、**ポート25を開く**必要があり、メールをrootとして送信した場合はファイル _/var/mail/root_応答を確認します)。\
すべてのテストに合格していることを確認してください:
```bash
==========================================================
@ -287,7 +287,7 @@ DKIM check: pass
Sender-ID check: pass
SpamAssassin check: ham
```
あなたはまた、**あなたの管理下にあるGmailにメッセージを送信**、Gmailの受信トレイで**メールのヘッダー**を確認することができます。`dkim=pass``Authentication-Results`ヘッダー欄に存在する必要があります。
あなたはまた、**あなたの管理下にあるGmailにメッセージを送信**、Gmailの受信トレイで**メールのヘッダー**を確認することができます。`dkim=pass``Authentication-Results`ヘッダー欄に存在する必要があります。
```
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of contact@example.com designates --- as permitted sender) smtp.mail=contact@example.com;
@ -295,11 +295,11 @@ dkim=pass header.i=@example.com;
```
### Spamhouseのブラックリストからの削除
ページ [www.mail-tester.com](https://www.mail-tester.com) は、あなたのドメインがspamhouseによってブロックされているかどうかを示すことができます。あなたのドメイン/IPの削除をリクエストすることができます: [https://www.spamhaus.org/lookup/](https://www.spamhaus.org/lookup/)
ページ [www.mail-tester.com](https://www.mail-tester.com) は、あなたのドメインがspamhouseによってブロックされているかどうかを示すことができます。あなたのドメイン/IPの削除をリクエストするには: [https://www.spamhaus.org/lookup/](https://www.spamhaus.org/lookup/)
### Microsoftのブラックリストからの削除
あなたのドメイン/IPの削除をリクエストすることができます: [https://sender.office.com/](https://sender.office.com).
あなたのドメイン/IPの削除をリクエストするには [https://sender.office.com/](https://sender.office.com) にアクセスしてください。
## GoPhishキャンペーンの作成と開始
@ -307,9 +307,9 @@ dkim=pass header.i=@example.com;
- 送信者プロファイルを識別するための**名前を設定**します
- フィッシングメールを送信するアカウントを決定します。提案: _noreply, support, servicedesk, salesforce..._
- ユーザー名とパスワードは空白のままにできますが、証明書エラーを無視する」をチェックすることを確認してください
- ユーザー名とパスワードは空白のままにできますが、証明書エラーを無視することを確認してください
![](<../../images/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (15) (2).png>)
![](<../../images/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (15) (2).png>)
> [!TIP]
> "**テストメールを送信**"機能を使用して、すべてが正常に動作していることをテストすることをお勧めします。\
@ -342,26 +342,26 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY
**メールの信頼性を高めるために**、クライアントからのメールの署名を使用することをお勧めします。提案:
- **存在しないアドレス**にメールを送信し、返信に署名が含まれているか確認します。
- **public emails**info@ex.com、press@ex.com、public@ex.comを検索し、メールを送信して返信を待ちます。
- **有効な発見された**メールに連絡を試み、返信を待ちます。
- info@ex.comやpress@ex.com、public@ex.comのような**公開メール**を検索し、メールを送信して返信を待ちます。
- **発見された有効な**メールに連絡を試み、返信を待ちます。
![](<../../images/image (80).png>)
> [!TIP]
> Email Templateでは、**送信するファイルを添付することもできます**。NTLMチャレンジを特別に作成したファイル/ドキュメントを使用して盗むことに興味がある場合は、[このページを読んでください](../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md)。
> メールテンプレートでは、**送信するファイルを添付**することもできます。NTLMチャレンジを特別に作成したファイル/ドキュメントを使用して盗むことに興味がある場合は、[このページを読んでください](../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md)。
### ランディングページ
- **名前**を記入
- **ウェブページのHTMLコード**を記入します。ウェブページを**インポート**することもできます。
- **提出データをキャプチャ**と**パスワードをキャプチャ**にチェックを入れます。
- **送信されたデータをキャプチャ**と**パスワードをキャプチャ**にチェックを入れます。
- **リダイレクト**を設定します。
![](<../../images/image (826).png>)
> [!TIP]
> 通常、ページのHTMLコードを修正し、ローカルでいくつかのテストを行う必要がありますおそらくApacheサーバーを使用して**結果に満足するまで**。その後、そのHTMLコードをボックスに記入します。\
> HTML用に**静的リソース**CSSやJSページなどを使用する必要がある場合は、_**/opt/gophish/static/endpoint**_に保存し、_**/static/\<filename>**_からアクセスできます。
> 通常、ページのHTMLコードを修正し、ローカルでいくつかのテストを行う必要がありますおそらくApacheサーバーを使用して**結果に満足するまで**。その後、そのHTMLコードをボックスに記入します。\
> HTML用に**静的リソース**おそらくCSSやJSページを使用する必要がある場合は、_**/opt/gophish/static/endpoint**_に保存し、_**/static/\<filename>**_からアクセスできます。
> [!TIP]
> リダイレクトでは、**被害者の正当なメインウェブページにユーザーをリダイレクト**するか、例えば_/static/migration.html_にリダイレクトし、5秒間**スピニングホイール****[https://loading.io/](https://loading.io)**)を表示し、その後プロセスが成功したことを示すことができます。
@ -396,7 +396,7 @@ clone-a-website.md
## バックドア付きドキュメントとファイル
いくつかのフィッシング評価(主にレッドチーム)では、**バックドアを含むファイルを送信したい**場合がありますC2かもしれませんし、認証をトリガーする何かかもしれません。\
いくつかのフィッシング評価(主にレッドチーム向け)では、**バックドアを含むファイルを送信**したい場合がありますC2かもしれませんし、認証をトリガーする何かかもしれません。\
いくつかの例については、次のページを確認してください:
{{#ref}}
@ -407,46 +407,133 @@ phishing-documents.md
### プロキシMitM経由
前述の攻撃は非常に巧妙で、実際のウェブサイトを偽装し、ユーザーが設定した情報を収集します。残念ながら、ユーザーが正しいパスワードを入力しなかった場合や、偽装したアプリケーションが2FAで設定されている場合、**この情報では騙されたユーザーを偽装することはできません**。
前述の攻撃は非常に巧妙で、実際のウェブサイトを偽装し、ユーザーによって設定された情報を収集します。残念ながら、ユーザーが正しいパスワードを入力しなかった場合や、偽装したアプリケーションが2FAで構成されている場合、**この情報では騙されたユーザーを偽装することはできません**。
ここで、[**evilginx2**](https://github.com/kgretzky/evilginx2)**、** [**CredSniper**](https://github.com/ustayready/CredSniper) および [**muraena**](https://github.com/muraenateam/muraena)のようなツールが役立ちます。このツールは、MitMのような攻撃を生成することを可能にします。基本的に、攻撃は次のように機能します:
ここで、[**evilginx2**](https://github.com/kgretzky/evilginx2)**、**[**CredSniper**](https://github.com/ustayready/CredSniper)および[**muraena**](https://github.com/muraenateam/muraena)のようなツールが役立ちます。このツールは、MitMのような攻撃を生成することができます。基本的に、攻撃は次のように機能します:
1. 実際のウェブページの**ログイン**フォームを偽装します。
1. 実際のウェブページのログインフォームを**偽装**します。
2. ユーザーは**資格情報**を偽のページに送信し、ツールはそれを実際のウェブページに送信し、**資格情報が機能するか確認します**。
3. アカウントが**2FA**で設定されている場合、MitMページはそれを要求し、**ユーザーが入力**すると、ツールはそれを実際のウェブページに送信します。
3. アカウントが**2FA**で構成されている場合、MitMページはそれを要求し、**ユーザーが入力**すると、ツールはそれを実際のウェブページに送信します。
4. ユーザーが認証されると、(攻撃者として)**資格情報、2FA、クッキー、およびツールがMitMを実行している間のすべてのインタラクションの情報をキャプチャ**します。
### VNC経由
**被害者を元のページと同じ外観の悪意のあるページに送信する代わりに、**実際のウェブページに接続されたブラウザを持つ**VNCセッションに送信したらどうなりますか**彼が何をしているかを見ることができ、パスワード、使用されるMFA、クッキーを盗むことができます。\
**被害者を元のページと同じ外観の悪意のあるページに送信する代わりに、**実際のウェブページに接続されたブラウザの**VNCセッション**に送信したらどうなりますか?彼が何をしているかを見ることができ、パスワード、使用されているMFA、クッキーを盗むことができます。\
これを[**EvilnVNC**](https://github.com/JoelGMSec/EvilnoVNC)で行うことができます。
## 検出の検出
当然のことながら、バストされたかどうかを知る最良の方法の1つは、**ブラックリスト内で自分のドメインを検索することです**。リストに表示されている場合、何らかの形であなたのドメインが疑わしいと検出されました。\
当然のことながら、バストされたかどうかを知る最良の方法の1つは、**ブラックリスト内で自分のドメインを検索すること**です。リストに表示されている場合、何らかの形であなたのドメインが疑わしいと検出されました。\
ドメインがブラックリストに表示されているかどうかを確認する簡単な方法は、[https://malwareworld.com/](https://malwareworld.com)を使用することです。
ただし、被害者が**野外で疑わしいフィッシング活動を積極的に探しているかどうかを知る他の方法もあります**。詳細は次の通りです:
ただし、被害者が**野生の疑わしいフィッシング活動を積極的に探しているかどうかを知る他の方法もあります**。詳細は以下に説明します:
{{#ref}}
detecting-phising.md
{{#endref}}
被害者のドメインに非常に似た名前のドメインを**購入する**ことができます。**および/または、あなたが制御するドメインの**サブドメイン**のために**証明書を生成します。被害者がそれらと何らかの**DNSまたはHTTPインタラクション**を行う場合、**彼が積極的に探している**ことがわかり、非常にステルスである必要があります。
被害者のドメインに非常に似た名前のドメインを**購入する**ことができます。または、あなたが制御するドメインの**サブドメイン**のために**証明書を生成する**ことができます。被害者のドメインの**キーワード**を含むものです。**被害者**がそれらと何らかの**DNSまたはHTTPインタラクション**を行うと、**彼が積極的に探している**ことがわかり、非常にステルスである必要があります。
### フィッシングの評価
[**Phishious**](https://github.com/Rices/Phishious)を使用して、メールがスパムフォルダに入るか、ブロックされるか、成功するかを評価します。
[**Phishious**](https://github.com/Rices/Phishious)を使用して、あなたのメールがスパムフォルダに入るか、ブロックされるか、成功するかを評価します。
## 高接触型アイデンティティ侵害ヘルプデスクMFAリセット
現代の侵入セットは、メールの誘惑を完全にスキップし、**サービスデスク/アイデンティティ回復ワークフローを直接ターゲット**にしてMFAを打破します。この攻撃は完全に「土地を生き抜く」ものであり、オペレーターが有効な資格情報を持っていると、組み込みの管理ツールを使用してピボットします - マルウェアは必要ありません。
### 攻撃フロー
1. 被害者の偵察
* LinkedIn、データ侵害、公開GitHubなどから個人および企業の詳細を収集します。
* 高価値のアイデンティティ役員、IT、財務を特定し、パスワード/MFAリセットのための**正確なヘルプデスクプロセス**を列挙します。
2. リアルタイムのソーシャルエンジニアリング
* ターゲットを偽装してヘルプデスクに電話、Teams、またはチャットしますしばしば**偽の発信者ID**または**クローン音声**を使用)。
* 以前に収集したPIIを提供して、知識ベースの検証を通過します。
* エージェントを**MFAシークレットのリセット**または登録された携帯番号の**SIMスワップ**を行うように説得します。
3. アクセス後の即時アクション実際のケースで≤60分
* 任意のウェブSSOポータルを通じて足場を確立します。
* 組み込みを使用してAD/AzureADを列挙しますバイナリはドロップされません
```powershell
# ディレクトリグループと特権ロールをリスト
Get-ADGroup -Filter * -Properties Members | ?{$_.Members -match $env:USERNAME}
# AzureAD / Graph ディレクトリロールをリスト
Get-MgDirectoryRole | ft DisplayName,Id
# アカウントがログインできるデバイスを列挙
Get-MgUserRegisteredDevice -UserId <user@corp.local>
```
* **WMI**、**PsExec**、または環境内で既にホワイトリストに登録されている正当な**RMM**エージェントを使用して横移動します。
### 検出と緩和
* ヘルプデスクのアイデンティティ回復を**特権操作**として扱います - ステップアップ認証とマネージャーの承認を要求します。
* 次のことに警告する**アイデンティティ脅威検出と応答ITDR** / **UEBA**ルールを展開します:
* MFAメソッドが変更され、新しいデバイス/地理からの認証。
* 同じプリンシパル(ユーザー→管理者)の即時昇格。
* ヘルプデスクの通話を記録し、リセットの前に**既に登録された番号へのコールバック**を強制します。
* **ジャストインタイムJIT/特権アクセス**を実装し、新しくリセットされたアカウントが**自動的に高特権トークンを継承しない**ようにします。
---
## 大規模な欺瞞 - SEOポイズニングと「ClickFix」キャンペーン
コモディティクルーは、高接触オペレーションのコストをオフセットするために、**検索エンジンと広告ネットワークを配信チャネルに変える**大規模な攻撃を行います。
1. **SEOポイズニング/マルバタイジング**は、`chromium-update[.]site`のような偽の結果をトップ検索広告に押し上げます。
2. 被害者は小さな**第一段階のローダー**しばしばJS/HTA/ISOをダウンロードします。Unit 42によって確認された例
* `RedLine stealer`
* `Lumma stealer`
* `Lampion Trojan`
3. ローダーはブラウザのクッキーと資格情報DBを外部に送信し、その後**サイレントローダー**を引き出し、*リアルタイム*でデプロイするかどうかを決定します:
* RATAsyncRAT、RustDesk
* ランサムウェア/ワイパー
* 永続コンポーネント(レジストリの実行キー + スケジュールされたタスク)
### ハードニングのヒント
* 新しく登録されたドメインをブロックし、**高度なDNS/URLフィルタリング**を*検索広告*およびメールに強制します。
* ソフトウェアのインストールを署名されたMSI/ストアパッケージに制限し、ポリシーによって`HTA``ISO``VBS`の実行を拒否します。
* インストーラーを開くブラウザの子プロセスを監視します:
```yaml
- parent_image: /Program Files/Google/Chrome/*
and child_image: *\\*.exe
```
* 第一段階のローダーによって頻繁に悪用されるLOLBins`regsvr32``curl``mshta`)をハントします。
---
## AI強化フィッシングオペレーション
攻撃者は現在、**LLMおよび音声クローンAPI**を連鎖させて、完全にパーソナライズされた誘惑とリアルタイムのインタラクションを実現しています。
| レイヤー | 脅威アクターによる使用例 |
|-------|-----------------------------|
|自動化|ランダム化された文言とトラッキングリンクを使用して、>100kのメール/SMSを生成して送信。|
|生成AI|公開M&A、ソーシャルメディアの内部ジョークを参照する*一回限り*のメールを生成コールバック詐欺でのディープフェイクCEO音声。|
|エージェンティックAI|自律的にドメインを登録し、オープンソースのインテリジェンスをスクレイピングし、被害者がクリックするが資格情報を送信しない場合に次の段階のメールを作成。|
**防御:**
• 信頼できない自動化から送信されたメッセージを強調する**動的バナー**を追加しますARC/DKIMの異常を介して
• 高リスクの電話リクエストに対して**音声生体認証チャレンジフレーズ**を展開します。
• 意識プログラムでAI生成の誘惑を継続的にシミュレートします - 静的テンプレートは時代遅れです。
---
## MFA疲労/プッシュボンビングバリアント - 強制リセット
クラシックなプッシュボンビングに加えて、オペレーターは単に**ヘルプデスクの呼び出し中に新しいMFA登録を強制**し、ユーザーの既存のトークンを無効にします。以降のログインプロンプトは被害者にとって正当なものに見えます。
```text
[Attacker] → Help-Desk: “I lost my phone while travelling, can you unenrol it so I can add a new authenticator?”
[Help-Desk] → AzureAD: Delete existing methods → sends registration e-mail
[Attacker] → Completes new TOTP enrolment on their own device
```
AzureAD/AWS/Oktaのイベントを監視し、**`deleteMFA` + `addMFA`**が**同じIPから数分以内に発生する**場合を確認します。
## クリップボードハイジャック / ペーストジャッキング
攻撃者は、妥協されたまたはタイポスカットされたウェブページから被害者のクリップボードに悪意のあるコマンドを静かにコピーし、その後ユーザーを**Win + R**、**Win + X**、またはターミナルウィンドウ内にペーストさせ、ダウンロードや添付なしで任意のコードを実行させることができます。
攻撃者は、侵害されたまたはタイポスクワッティングされたウェブページから被害者のクリップボードに悪意のあるコマンドを静かにコピーし、その後ユーザーを騙して**Win + R**、**Win + X**、またはターミナルウィンドウ内にペーストさせ、ダウンロードや添付なしで任意のコードを実行させることができます。
{{#ref}}
clipboard-hijacking.md
{{#endref}}
## モバイルフィッシングと悪意のあるアプリ配布Android & iOS
## モバイルフィッシング & 悪意のあるアプリ配布 (Android & iOS)
{{#ref}}
mobile-phishing-malicious-apps.md
@ -458,5 +545,6 @@ mobile-phishing-malicious-apps.md
- [https://0xpatrik.com/phishing-domains/](https://0xpatrik.com/phishing-domains/)
- [https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/](https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/)
- [https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy](https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy)
- [2025 Unit 42 Global Incident Response Report Social Engineering Edition](https://unit42.paloaltonetworks.com/2025-unit-42-global-incident-response-report-social-engineering-edition/)
{{#include ../../banners/hacktricks-training.md}}