Sécurisez Vos Emails : Phishing Blue Teaming

L'Équipe Alphorm
L'Équipe Alphorm 30e lecture en min

Dans le monde de la cybersécurité, le phishing reste l’une des menaces les plus courantes et les plus dangereuses pour les organisations. Suite à notre précédent article sur la stratégie Blueteaming pour gérer les vulnérabilités, nous abordons maintenant une dimension spécifique et cruciale de cette stratégie : le phishing blue teaming. Cette approche proactive vise à renforcer la défense contre les attaques de phishing sophistiquées. En combinant des techniques avancées de détection, d’analyse et de réponse, le phishing blue teaming permet aux équipes de sécurité de mieux comprendre les tactiques des attaquants et de développer des stratégies efficaces pour les contrer. Cet article explore les différentes facettes du phishing blue teaming, en mettant l’accent sur les outils, les méthodologies et les meilleures pratiques pour protéger votre organisation contre les attaques de phishing.

Découvrir le fonctionnement des protocoles mails

Architecture des protocoles mails pour le phishing blue teaming

Cette architecture traditionnelle nous permettra d’envoyer un e-mail

Architecture des protocoles mails pour phishing blue teaming
  • Description de l’architecture
  • Machine à gauche « Votre PC » :

Utilisée pour transférer l’e-mail de l’expéditeur « mon-email@it-connect.fr » à la destination « destinataire@domaine.fr »

  • Machine à droite « Pc du destinataire » :

Un client de messagerie est configuré pour envoyer des e-mails via le protocole SMTP. Ce protocole fonctionne en mode client-serveur sur TCP et permet de router les e-mails via le serveur de messagerie. SMTP utilise principalement le port 25, tandis que SMTPS (SMTP over SSL) utilise le port 587.

  • Serveur de messagerie

Sur chaque serveur de messagerie, il existe un guide de configuration indiquant les ports à utiliser et d’autres informations sur les différents paramètres, comme vous pouvez le voir ci-dessus.

Guide de configuration des serveurs pour phishing blue teaming

Dans certaines architectures, en plus des serveurs de messagerie, vous pouvez également trouver des serveurs de transit qui dirigent les e-mails vers leur destination.

La deuxième étape consiste à acheminer l’e-mail du serveur de messagerie vers le serveur de messagerie qui gère les boîtes aux lettres du domaine destinataire, par exemple, le domaine.fr.

Architecture du serveur de messagerie pour phishing blue teaming

En utilisant des outils comme dnsdumpster, on peut spécifier un site et obtenir les enregistrements DNS associés, y compris les enregistrements MX.

Utilisation de DNSDumpster dans le phishing blue teaming

Ces enregistrements MX « MX Records » obtenu ci-dessus nous permettent de voir les adresses IP utilisées pour les serveurs de messagerie dans ce contexte spécifique.

Résultat de recherche DNSDumpster pour phishing blue teaming

Ensuite, à partir de là, le serveur de messagerie it. concte.fr va envoyer son email via le SMTP au serveur de messagerie de domain.fr, puisque

Maintenant que nous connaissons son adresse IP, le serveur de messagerie de domaine.fr va recevoir l’e-mail et le stocker dans la boîte aux lettres de l’utilisateur destinataire, c’est-à-dire destinataire@domaine.fr.

Ensuite, il va entrer dans le jeu de nouveaux protocoles tels que POP, IMAP, et MAPI. Il utilisera des flux HTTPS à ce moment-là. Le client de messagerie interviendra alors.

Architecture du serveur de messagerie pour phishing blue teaming

Lab : Anatomie d'un mail dans le phishing blue teaming

Un exemple du vrai spam que j’ai reçu récemment.

Il y a d’autres paramètres plus intéressants. Il suffit d’aller aux trois points ici.

Exemple de spam reçu pour analyse dans phishing blue teaming

Nous cliquons sur « Afficher l’original » pour voir toutes les informations originales de la source concernant cet e-mail.

Détails du spam reçu dans phishing blue teaming

Voici les différents paramètres très intéressants pour mieux analyser l’e-mail et ses composants.

Message d'origine du spam dans phishing blue teaming

Après avoir descendu, je vois des paramètres spécifiques tels que l’adresse de destination, la date de livraison et de réception, ainsi que d’autres paramètres du serveur de messagerie et l’adresse IP du domaine.

De plus, nous pouvons trouver des informations sur la source de l’e-mail, telles que l’expéditeur, le sujet, la date précise, les destinataires en copie conforme (CC), et la source.

Analyse d'email de spam pour phishing blue teaming

Voici un modèle d’analyse d’e-mail sur lequel nous allons nous baser afin de cibler les informations les plus nécessaires :

  • La source de l’e-mail
  • Le sujet de l’e-mail
  • La destination de l’e-mail
  • La date de réception de l’e-mail
  • Le serveur mail
  • L’adresse IP du serveur mail
  • Les liens hypertextes
  • Le nom du fichier (le cas échéant)
  • La catégorie de l’e-mail
  • Des commentaires supplémentaires
Analyse d'email de phishing pour phishing blue teaming

Appréhender techniques de Social Engineering et de phishing

Définition du Social Engineering

Le Social Engineering est l’art d’obtenir des informations critiques en exploitant la faille humaine. Les humains sont le maillon faible dans la défense d’une entreprise/cible, mais aussi le maillon fort. En tant qu’êtres sociaux, nous sommes automatiquement vulnérables à ce type d’attaques. Il existe plusieurs vecteurs d’attaque.

Définition du phishing

Le phishing est une technique de cybercriminalité qui utilise la fraude et la tromperie pour manipuler les victimes afin qu’elles cliquent sur des liens malveillants ou divulguent des données personnelles sensibles.

Définition du phishing dans le phishing blue teaming

Le Spear Phishing en blue teaming

Le spear phishing est une pratique gérée par des groupes avancés, comme nous l’avons discuté précédemment avec le groupe APT. Ils travaillent simplement comme illustré ci-dessus : l’attaquant rassemble suffisamment d’informations sur la victime. Une fois que la victime reçoit l’e-mail ou le fichier, elle l’ouvre, ce qui cible le système compromis, permettant au groupe APT d’extraire les données.

Schéma du spear phishing dans le phishing blue teaming

Catégories de phishing pour le blue teaming

  • Fraude au president type de fraude dont l’objectif est de provoquer un virement de fonds vers un compte frauduleux.
  • Whaling est une attaque de phishing destinée aux cadres supérieurs afin de leur extorquer des informations sensibles sous couvert d’une légitimité apparente.
  • Vishing est l’utilisation d’appels téléphoniques dans le but de duper quelqu’un pour obtenir des informations personnelles ou financières.
  • Smishing est une forme de phishing où les attaquants utilisent des SMS pour tenter d’obtenir des informations sensibles ou personnelles de la part des destinataires.
  • Pharming est une technique exploitant des vulnérabilités DNS pour rediriger la victime vers des sites malveillants.
  • Vol d’informations de session vol des infos sur session utilisateur
  • Déploiement de malware
Différentes catégories de phishing pour phishing blue teaming

Découvrir le rôle de la reconnaissance dans le phishing

Définition d’un groupe APT pour le phishing blue teaming

Définition d'un groupe APT dans le phishing blue teaming

Lab : Reconnaissance dans le phishing blue teaming

Nous allons examiner d’autres outils pour collecter des informations. Hunter est un outil intéressant pour recueillir des informations sur des organismes. Prendre l’exemple d’Alphorm.com.

En cliquant sur le domaine

Interface de l'outil Hunter pour phishing blue teaming

Nous pouvons collecter les adresses e-mail qui peuvent être récupérées. À droite, nous avons la source d’où l’adresse e-mail est extraite, ainsi que la possibilité de récupérer la catégorie de l’e-mail.

En pouvant voir d’autres organismes de manière simple et basique, on a toujours des sources à utiliser, ainsi que le poste récupéré par la personne.

Processus de reconnaissance dans le phishing blue teaming

On peut également utiliser l’OSINT (Open Source Intelligence) qui utilise des bases de données publiques pour collecter des informations sur une cible.

Interface d'outil OSINT pour phishing blue teaming

Vous pouvez remarquer LAMPYER qui est l’un des outils les plus intéressants qui nous permet de recueillir des informations. Vous pouvez donc créer un compte gratuit pour faire le test ou télécharger LAMPYER.

Interface de Lampyre dans le phishing blue teaming

Une fois installé, il vous demande quel mode vous souhaitez utiliser : le mode autonome (standalone mode) qui ne nécessite pas de connexion Internet, ou le mode en ligne (online mode). Nous allons choisir le mode en ligne.

Mode de fonctionnement de Lampyre pour phishing blue teaming

Après le lancement, nous voyons notre interface comme ci-dessous.

Interface du mode online de Lampyre pour phishing blue teaming

Alors, pour créer un nouveau schéma, il suffit de cliquer sur « Quick Start« , puis de cliquer sur « File » et « New Schema« .

Création d’un nouveau schéma dans Lampyre pour phishing blue teaming

Comme vous pouvez le constater, c’est assez simple. Le contenu à droite est le résultat, à gauche se trouvent les requêtes à traiter, et au milieu se trouve Lampyre, qui va exécuter tous types de recherches sur un objet spécifique.

Explication de l'interface de création de schéma pour phishing blue teaming

Nous pouvons trouver tous les objets de départ que nous pouvons utiliser.

Objets de départ pour la recherche dans Lampyre pour phishing blue teaming

Nous allons choisir un domaine spécifique, alphorm.com, pour rechercher une information. Nous allons commencer notre recherche à partir de ce domaine en cliquant dessus et en le déplaçant, puis en spécifiant notre domaine alphorm.com

Propriété de la recherche dans Lampyre pour phishing blue teaming

Ensuite, nous allons cliquer sur « Enter » pour confirmer. Après cela, nous faisons un clic droit pour voir les transformations ou les requêtes à préparer. Nous allons choisir les informations que nous voulons sur ce domaine, puis nous cliquons sur « Run« , et la recherche sera effectuée.

Lancement de la recherche dans Lampyre pour phishing blue teaming

À partir de là, les résultats tomberont pour les e-mails et différents membres de l’entreprise. Nous allons structurer le graphe selon vos préférences.

Résultats de la recherche dans Lampyre pour phishing blue teaming

Prêt à devenir un expert en sécurité Blue Teaming ?  Ne manquez pas notre formation vidéo exclusive ! 🔒 Transformez votre carrière en cyberdéfense maintenant ! 🚀Formation Blue Teaming

Mettre en place une campagne de phishing avec gophish

Objectifs d’une campagne de phishing blue teaming

Une campagne de phishing est le meilleur moyen de sensibiliser ses collaborateurs pour les protéger contre les futures attaques en identifiant les maillons faibles de l’organisation, c’est-à-dire les individus moins attentifs et sensibles. Sensibiliser concrètement permet également de protéger les surfaces d’attaque.

Objectifs d’une campagne de phishing blue teaming

Lab : Créer une campagne de phishing blue teaming avec gophish

Gophish est un outil qui vous permet de créer et de lancer des campagnes de phishing avec des modèles pixel-parfait, un suivi des ouvertures d’e-mails et des résultats en temps réel.

Interface de l'outil Gophish pour phishing blue teaming

Nous allons utiliser une machine Ubuntu pour installer Gophish. Vous pouvez déployer cette machine sur n’importe quel VPS de votre choix. Nous allons nommer la machine GophishAlphorm, puis choisir un nom d’utilisateur et un mot de passe pour accéder à notre machine via SSH.

Ensuite, nous cliquons sur « créer« .

Création d'une machine virtuelle sur Microsoft Azure pour phishing blue teaming

Nous allons accéder à nos ressources et récupérer l’adresse IP.

Accéder aux ressources de la machine pour phishing blue teaming

Voici l’adresse IP

Adresse IP de la machine virtuelle pour phishing blue teaming

Nous allons utiliser l’outil MobaXterm pour créer une nouvelle session SSH. Nous allons simplement cliquer sur « Session » et choisir « SSH« .

Utilisation de l'outil MobaXterm pour phishing blue teaming

Nous allons saisir l’adresse IP, le nom d’utilisateur, et nous aurons également la possibilité d’ajouter ou de modifier le mot de passe si nécessaire.

Connexion SSH pour le phishing blue teaming

Comme vous voyez nous sommes maintenant connectés à la machine Ubuntu via SSH.

Lancement de la session SSH pour phishing blue teaming

Nous allons commencer par mettre à jour les paquets en utilisant la commande suivante sudo apt update

Mise à jour des paquets pour phishing blue teaming

Nous allons maintenant installer les dépendances et l’outil Gophish. Vous pouvez trouver l’outil sur GitHub en suivant le lien de référence. Copiez le lien de la version Linux et utilisez la commande wget sur votre machine pour récupérer le fichier nécessaire.

Téléchargement de l'outil depuis GitHub pour phishing blue teaming

Nous allons extraire mon fichier en utilisant la commande unzip. Pour installer l’outil, nous tapons la commande « apt install unzip« 

Installation de l'outil Unzip pour phishing blue teaming

Après cela, nous saisissons la commande « unzip ‘le nom du fichier’

Extraction de fichiers pour le phishing blue teaming

Nous allons commencer par modifier le fichier de configuration pour définir l’URL d’administration afin qu’elle puisse écouter sur toutes les interfaces réseau. Pour ce faire, nous utiliserons la commande « vi gophish« .

Modification du fichier de configuration pour phishing blue teaming

Nous allons également donner les permissions d’exécution au fichier en utilisant la commande « chmod +x gophish« .

Donner les permissions d'exécution pour phishing blue teaming

Nous allons ouvrir le port qui nous intéresse en accédant à Microsoft Azure, puis en allant dans les paramètres réseau pour ajouter une règle de port d’entrée. Ensuite, nous allons cliquer sur « Ajouter » pour finaliser la configuration

Ouverture d'un port spécifiant pour phishing blue teaming

En revenant sur MobaXterm, nous allons essayer d’exécuter Gophish en utilisant la commande « ./gophish« 

Exécution de Gophish pour phishing blue teaming

On peut voir que l’exécution s’est bien déroulée. Maintenant, nous pouvons voir l’adresse d’administration.

Résultat de l'exécution de Gophish pour phishing blue teaming

Pour récupérer le mot de passe, nous revenons sur MobaXterm et consultons l’interface de gestion. Ensuite, nous pouvons simplement faire un copier-coller pour l’obtenir

Récupération de l'adresse IP pour phishing blue teaming

Sur Microsoft Azure, accéder à cette adresse IP publique et connecter à l’interface de connexion de Gophish.

Récupération du mot de passe pour phishing blue teaming

Nous tapons le nom d’utilisateur ‘admin’ et, dans le champ de mot de passe, nous collons le mot de passe que nous avons copié auparavant.

Interface de connexion de Gophish pour phishing blue teaming

Nous allons créer un profil d’envoi pour pouvoir envoyer des e-mails de phishing. Nous allons nous diriger vers l’onglet « Sending » et commencer à remplir les informations en fonction du serveur SMTP disponible. Nous utiliserons un serveur OVH, puis nous cliquerons sur « Send Test Email« 

Création d’un nouveau profil dans Gophish pour phishing blue teaming

Nous allons envoyer le test à une adresse Gmail spécifique, puis cliquer sur « Envoyer« 

Envoi d'un email de test à une adresse Gmail pour phishing blue teaming

Si tout se passe bien, vous devriez recevoir un email contenant toutes les informations du mail, comme illustré ci-dessus.

Exemple d'email reçu pour phishing blue teaming

Maintenant, On va accéder à la page sur laquelle l’utilisateur va atterrir en cliquant sur « Landing Page« .

Page de destination pour phishing blue teaming

Maintenant, nous allons cloner une page d’atterrissage qui comporte un formulaire automatisé de la CIC Bank

Nous allons choisir l’URL et cliquer sur « Importer le site« 

Clonage d'une page de destination pour phishing blue teaming

En choisissant le lien de redirection, dans ce cas, nous allons choisir le site Alphorm, puis cliquer sur « Enregistrer la page d’atterrissage ».

Lien de redirection utilisé dans phishing blue teaming

Maintenant il reste juste à choisir le modèle de la page d’atterrissage. Nous allons utiliser le modèle de la CIC Bank. De plus, on peut importer un modèle d’email si nécessaire, avec un sujet, et utiliser des modèles de mail existants disponibles dans Gophish ou sur internet.

Choisir le modèle de la page d’atterrissage pour phishing blue teaming

On peut choisir n’importe quel modèle, On va prendre celui qui parle du COVID, puis je le récupère en cliquant sur « Save model« 

Importation du modèle de page pour phishing blue teaming

Nous allons créer un groupe que nous allons nommer « Entreprise 1 » en accédant à « Nouveau groupe« . De plus, nous pouvons également importer des utilisateurs sans format CSV en cliquant sur « Buk » puis en cliquant sur « Enregistrer les modifications« 

Création d’un nouveau groupe dans Gophish pour phishing blue teaming

Maintenant on peut commencer notre campaign en choisissant le modèle CIC.

Lancement d’une nouvelle campagne dans Gophish pour phishing blue teaming

Enfin nous allons accéder à un magnifique tableau de bord qui illustre les emails ouverts, les emails envoyés et les clics sur les liens.

Résultat sur le dashboard de Gophish pour phishing blue teaming

Analyser les URL et les pièces jointes des mails de phishing dans des sandbox

Définition d’une sandbox

Un environnement “sandbox” utilisé pour tester les malwares est configuré et fonctionne différemment d’une “sandbox” destiné à tester le code des mises à jour d’applications. Pour la recherche de logiciels malveillants potentiels et l’exécution de codes malveillants, une sandbox doit être isolée des logiciels de production.

Schéma du sandbox utilisé pour phishing blue teaming

Lab : Analyse des mails de phishing blue teaming dans une sandbox

La première plateforme que nous allons utiliser pour l’analyse est Browserling. Cela nous permettra de créer des environnements sandbox isolés pour nos tests.

Interface de Browserling pour phishing blue teaming

Il suffira de mettre le lien que vous avez reçu, puis choisir le système d’exploitation et le navigateur, et enfin cliquer sur « Test Now« .

Réalisation d’un test sur Browserling pour phishing blue teaming

Dans ce cas, il va créer un environnement isolé (sandboxing), par exemple pour ce mail de phishing.

Résultat du test sur Browserling pour phishing blue teaming

On peut également vérifier le lien sur l’outil VirusTotal, qui nous permet d’analyser des fichiers et des URL avec plusieurs antivirus.

Vérification d'un lien sur l'outil VirusTotal pour phishing blue teaming

Nous allons coller le lien et voir que plusieurs antivirus détectent le lien

Résultat de la vérification sur VirusTotal pour phishing blue teaming

Sur une autre plateforme comme App Any Run, il faut d’abord avoir un compte. Ensuite, vous pouvez lancer une nouvelle tâche et spécifier l’URL à analyser.

Choisissez l’URL ensuite cliquez sur run public task

Interface de l'outil APPanyRun pour phishing blue teaming

Vous pouvez vérifier si le lien est malveillant en consultant les requêtes DNS et toutes les actions entreprises. De plus, vous avez la possibilité d’ouvrir vos liens sur d’autres navigateurs pour effectuer une analyse approfondie.

Vérification d'un lien suspect pour phishing blue teaming

Il y a aussi d’autres outils comme Hybrid Analysis qui peuvent être utilisés.

Interface de l'outil Hybrid Analysis pour phishing blue teaming

En passant à la deuxième phase, qui sera plus complexe, On va essayer d’analyser un mail suspect.

Analyse d'un email suspect pour phishing blue teaming

Vous pouvez vérifier si le lien est malveillant en consultant les requêtes DNS et toutes les actions entreprises. De plus, vous avez la possibilité d’ouvrir vos liens sur d’autres navigateurs pour effectuer une analyse approfondie.

Analyse d'un email pour phishing blue teaming

Nous allons nous diriger vers un autre e-mail pour vérifier si un malware est malicieux ou non, en tenant compte d’autres éléments tels que le domaine utilisé, qui est noté « nota-brasil ».

VirusTotal il a identifié que c’est un malware.

Vérification d'un domaine sur VirusTotal pour phishing blue teaming

Utiliser l’outil URLScan et coller le domaine. Dans ce cas, je n’ai aucun élément à disposition.

Vérification d'un domaine sur URLScan pour phishing blue teaming

On peut également récupérer l’adresse e-mail utilisée ainsi que l’adresse IP, que je peux ensuite analyser sur VirusTotal. Cela nous permettra d’identifier que c’est un spam.

Vérification de l'adresse IP sur VirusTotal pour phishing blue teaming

Apprendre à utiliser l'outil Phishtool dans l'analyse de mails de phishing

Définition de Phishtool pour blue teaming

PhishTool donne aux analystes humains le pouvoir de désosser les e-mails de phishing afin de mieux se défendre contre eux. PhishTool est aux e-mails de phishing ce qu’un désassembleur est aux logiciels malveillants ou ce qu’une trousse d’outils forensiques est aux systèmes de fichiers.

Interface de l'outil PhishTool pour phishing blue teaming

Il se décline en deux parties : une version payante et une version gratuite, appelée « community« . Nous allons utiliser la version « community » en créant un compte sur PhishTool. Si vous êtes au sein d’une entreprise, vous pouvez utiliser la version payante.

Interface du site PhishTool pour phishing blue teaming

Pour s’inscrire, il suffit de saisir l’email personnel et le mot de passe, puis de confirmer le mot de passe en cliquant sur « submit« .

Interface de connexion de PhishTool pour phishing blue teaming

Une fois l’inscription confirmée, vous serez dirigé vers l’interface « Overview Dashboard » de l’outil PhishTool, comme vous pouvez le voir ci-dessus :

Overview de l'outil PhishTool pour phishing blue teaming

Pour choisir un e-mail à analyser, il suffit de cliquer sur « Analysis« , puis sur « Choose File« , et sélectionner l’e-mail intéressant à analyser.

Ajout d'un email à scanner dans PhishTool pour phishing blue teaming

Pour analyser de manière automatisée, je récupère les informations nécessaires, comme vous pouvez le voir ci-dessus : l’adresse e-mail source, le nom utilisé pour l’affichage, les destinataires en copie, la date d’envoi et l’adresse qui va être utilisée pour la réponse.

Résultat du scan effectué dans PhishTool pour phishing blue teaming

Nous disposons également de plusieurs informations de sécurité telles que les en-têtes X-Headers et les URLs embarquées dans le message, comme vous pouvez le voir ci-dessus :

Résultat du scan effectué dans PhishTool pour phishing blue teaming

Enfin, il y a une analyse effectuée par VirusTotal pour vérifier si ce mail est malicieux ou non. En cliquant sur VirusTotal, nous pouvons récupérer l’URL concernée ainsi que les résultats de l’analyse effectuée par VirusTotal, comme illustré dans la figure suivante :

Analyse des résultats du scan dans PhishTool pour phishing blue teaming

Nous pouvons également visualiser l’e-mail de manière normale, comme illustré ci-dessus.

Résultats du scan dans PhishTool pour phishing blue teaming

Nous pouvons également visualiser l’e-mail au format texte.

Résultats du scan dans PhishTool pour phishing blue teaming

Est aussi visualiser l’e-mail au format texte, en HTML, voire même en source.

Résultats du scan dans PhishTool pour phishing blue teaming

Effectuer d’autres analyses sur d’autres e-mails, comme vous pouvez le voir ci-dessus. On toutes les informations sur cet e-mail, comme mentionné précédemment.

Résultats d’un autre scan dans PhishTool pour phishing blue teaming

Envie d’élargir vos compétences en cybersécurité ?  Découvrez toutes nos formations de Blue teaming et trouvez celle qui vous convient le mieux : Parcours Blue Teaming

Maitriser l'outil URLScan

Définition de l'outil URLScan pour le phishing blue teaming

Un scanner d’URL est un outil de cybersécurité conçu pour analyser les URL à la recherche de contenu malveillant, de virus et d’autres menaces de sécurité. Il fonctionne en analysant les composants d’une URL tels que le nom de domaine, le chemin et les paramètres de requête, puis les compare à une base de données de menaces connues.

Interface de l'outil Urlscan pour phishing blue teaming

Choisis ce domaine bien spécifique pour effectuer un scan en le saisissant dans la barre « URL Scan », puis clique sur « Public Scan« .

Effectuer un scan sur Urlscan pour phishing blue teaming

Comme vous pouvez le voir, les résultats identifient l’adresse IP comme malveillante et indiquent si elle est associée à une entreprise ou à un serveur d’hébergement. De plus, la validité du certificat de sécurité ainsi que sa durée de validité sont également notées, tout comme les scans déjà effectués. Ce qui est particulièrement intéressant, c’est le brand de l’entreprise ciblée par cet attaquant.

Résultat du scan sur Urlscan pour phishing blue teaming

Nous pouvons également récupérer des informations plus détaillées sur l’adresse IP et le serveur d’hébergement.

Récupérer des informations plus détaillées sur Urlscan pour phishing blue teaming

Nous disposons également de toutes les requêtes HTTP effectuées.

Analyse des résultats du scan sur Urlscan pour phishing blue teaming

On peut également voir s’il y a des redirections, comme vous pouvez le voir ci-dessus, il y a plusieurs redirections.

Résultat du scan de URL sur Urlscan pour phishing blue teaming

Pour déterminer et détecter si nous sommes devant une page de phishing ou non, nous pouvons cliquer sur « Behavior« , comme illustré ci-dessus.

Deuxième résultat du scan de URL sur Urlscan pour phishing blue teaming

Également, l’IOC (Indicators of Compromise) permet d’effectuer l’analyse du domaine, de l’adresse IP et de certains composants tels que des scripts ou des images.

Troisième résultat du scan de URL sur Urlscan pour phishing blue teaming

Egalement retrouver des fichiers similaires, que ce soit avec ce domaine ou d’autres.

Quatrième résultat du scan de URL sur Urlscan pour phishing blue teaming

Apprendre à réagir face à une campagne de phishing

Réagir face aux attaques de phishing blue teaming

  • Mesures préventives
    • Sensibilisation
    • Campagne de phishing
    • Sécurisation des serveurs mails
  • Mesures réactives
  • Effecteur une sauvegarde/exportation du mail
  • Effectuer une analyse du mail
  • Communiquer !
  • Application des contremesures (Stratégie de blocage de mails)
  • Amélioration continue

Découvrir les mesures de sécurisation des serveurs Mail

Définition d’un ANTI SPAM pour le phishing blue teaming

Découvrir les mesures de sécurisation des serveurs Mail

Schéma d'un système anti-spam pour phishing blue teaming

Pour protéger la messagerie électronique, il est nécessaire d’installer un logiciel anti-spam. Ce logiciel est conçu pour détecter les spams et repérer toute information suspecte dans les e-mails.

Définition du SPF pour le phishing blue teaming

SPF : Sender Policy Framework, est un protocole de validation de courrier électronique conçu pour détecter et bloquer l’usurpation de courrier électronique qui permet aux échangeurs de courrier de vérifier que le courrier entrant d’un domaine provient d’une adresse IP autorisée par les administrateurs de ce domaine

Schéma du protocole SPF pour phishing blue teaming

Définition du DKIM pour le phishing blue teaming

DKIM : DomainKeys Identified Mail, permet à une organisation (ou à un gestionnaire du message) d’assumer la responsabilité d’un message en transit

 

Schéma du protocole DKIM pour phishing blue teaming

Définition du DMARC pour le phishing blue teaming

DMARC : DMARC, ou Domain-based Message Authentication, Reporting and Conformance est une méthode d’authentification supplémentaire utilisant SPF et DKIM

Elle permet de vérifier si un courrier électronique a effectivement été envoyé par le propriétaire du domaine «Friendly-From»

Schéma du protocole DMARC pour phishing blue teaming

Pour vérifier la sécurité des serveurs, plusieurs outils sont disponibles, et nous utiliserons l’outil MxToolbox. Une de ses fonctionnalités les plus utiles est le MXlookup. Cet outil permet de vérifier les enregistrements MX d’un domaine pour s’assurer de leur configuration correcte. On peut également vérifier la priorité des serveurs de messagerie et s’assurer que les e-mails sont acheminés correctement.

Interface du toolbox MX pour phishing blue teaming

Prendre, par exemple, l’email health et utiliser le domaine alphorm.com.

Vérification d'un email sur toolbox MX pour phishing blue teaming

On est en train de vérifier un e-mail et d’analyser le site. Je remarque qu’il n’y a aucun enregistrement en cours d’utilisation.

Résultats de la vérification d'un email pour phishing blue teaming
Deuxième résultat de la vérification d'un email pour phishing blue teaming

On va utiliser un outil qui peut envoyer des e-mails spoofés à partir de notre serveur de messagerie.

Interface de l'application pour phishing blue teaming

Choisissant également le nom que j’utiliserai dans l’e-mail, ainsi que l’adresse source et destinataire, l’objet, les éventuelles pièces jointes et le contenu. Ensuite, je clique sur envoyer.

Envoi d'un fake email pour phishing blue teaming

Comme vous pouvez le constater, l’e-mail a été envoyé avec succès.

Envoi d'un email réussi

Découvrir la technique du Phishing Browser In the Browser

Définition d’une attaque Browser

BITB est une nouvelle technique de phishing émerge : une fausse fenêtre pop-up simule les pages de connexion d’entreprises légitimes comme Apple, Facebook, Google ou Microsoft. Cette ruse informatique est difficile à repérer et permet aux attaquants de récupérer les mots de passe des utilisateurs.

Exemple d'attaque BITB

Lab : Phishing BITB dans le blue teaming

Cette image illustre la différence entre le phishing et la réalité. Vous pouvez voir la fenêtre de manière visuellement explicite grâce à des animations JavaScript. Nous allons donc examiner cela dans notre laboratoire.

Exemple d'attaque de phishing pour phishing blue teaming

Nous démarrons notre laboratoire sur une machine Kali Linux

Interface de Kali Linux

Dirigent vers le répertoire BITB cloné, situé sur le bureau, en tapant la commande cd Desktop puis cd BITB/.

Accéder au chemin de l'application pour phishing blue teaming

Une fois cette étape effectuée, il y a des démos préconfigurées. On peut les afficher à l’aide de la commande ls. Ensuite, diriger vers le dossier « Windows-Chrome-DarkMode » en utilisant la commande cd

Accéder à un dossier spécifique pour phishing blue teaming

Ici, voici un ensemble d’informations disponibles avec la commande ls. En peux afficher les informations déjà présentes en utilisant la commande eog login.png, comme vous pouvez le voir ci-dessus.

Affichage des informations précédentes

Rentres dans le fichier index avec la commande sudo gedit index.html

Accéder au fichier index

Ici, nous trouvons le vrai nom de domaine qui sera ciblé. Par exemple, dans notre laboratoire, nous allons essayer de lancer une attaque de phishing sur Netflix. Nous allons coller le domaine de Netflix et ajouter le chemin vers le site Netflix dans le chemin du domaine pour l’afficher dans la fenêtre. Nous allons également ajouter le fichier que nous allons créer.

Modification du fichier index pour phishing blue teaming

Pour cela, Nous allons utiliser l’outil Phisher-man. Clone le lien et récupère notre outil.

Cloner le lien de l'application

On accède à l’emplacement Phisher-man avec la commande cd Phisher-man.

Accéder à l'emplacement de l'application pour phishing blue teaming

Ensuite, exécuter ce dernier à l’aide de la commande sudo python3 app.py. Une fois exécuté, on voit cette interface. Ensuite, ouvrir notre navigateur diriger vers l’application en utilisant le port 50000.

Exécution de l'application pour phishing blue teaming

On peut voir l’interface de l’application.

Interface de Phishman

On dirige vers le répertoire « scam » et on dispose de plusieurs pages de phishing à utiliser. Dans notre cas, on va utiliser Netflix. Clique sur « build scam« 

Différents scams disponibles

Maintenant, dirigent vers l’adresse 127.0.0.1, voici l’interface de phishing.

Interface de phishing

Coller le lien dans mon fichier index.html à la ligne 32, puis je ferme tout cela et enregistre les modifications.

Modification du fichier index

Ensuite, ouvre sur Firefox avec la commande firefox index.html.

Ouverture du fichier index pour phishing blue teaming

Ici, vous pouvez remarquer que la page de phishing fonctionne parfaitement bien et j’ai le lien qui est vraiment légitime vers la plateforme. Une fois qu’exécute les informations dans les cases identifiant et mot de passe, On peut les voir dans les journaux

Interface de phishing Netflix pour phishing blue teaming

Dans les journaux, on peut voir l’identifiant ainsi que le mot de passe qui est test123.

Interface du log

Découvrir les extensions malicieuses et leurs rôles dans les campagnes de phishing

Les extensions malicieuses dans le phishing blue teaming

Les extensions malveillantes ne se limitent pas aux documents Word (docx), aux documents Excel (xls) ou aux binaires (exe). Il est important de noter qu’il existe de nombreuses autres extensions qui peuvent être utilisées à des fins malveillantes. En répertoriant toutes les extensions, vous pouvez remarquer ci-dessus les différentes extensions utilisées.

Interface de l'outil MrD0x

Nous allons spécifier les extensions utilisées dans le phishing. On peut voir l’extension, la fonction de l’extension et le système d’exploitation.

Spécification de l'extension

On va prendre par exemple une extension DAA. On peut voir toutes les informations sur cette extension sans description et avec tous les détails.

Description d'une extension

Conclusion

Le phishing blue teaming est une composante essentielle d’une stratégie de cybersécurité robuste. En adoptant une approche proactive et en utilisant des outils spécialisés, les équipes de sécurité peuvent non seulement détecter et neutraliser les attaques de phishing, mais aussi anticiper les nouvelles menaces. Les compétences et les méthodologies présentées dans cet article fournissent une base solide pour améliorer la résilience de votre organisation face aux cyberattaques. En investissant dans le phishing blue teaming, vous assurez une protection continue et efficace contre l’une des menaces les plus persistantes du paysage numérique actuel.

ÉTIQUETÉ : Blue teaming
Partager cet article
Par L'Équipe Alphorm Démocratiser la Connaissance Informatique pour Tous !
Suivre :
L'Équipe Alphorm, c'est la démocratisation de la connaissance informatique. Passionnés et dévoués, nous sommes là pour vous guider vers le succès en rendant la technologie accessible à tous. Rejoignez notre aventure d'apprentissage et de partage. Avec nous, le savoir IT devient une ressource inspirante et ouverte à tous dans un monde numérique en constante évolution.