高階自動化釣魚框架PhishLulz已經發布，是災難還是救星？

2016年11月的紐西蘭黑客大會Kiwicon上，FortConsult的網路安全專家Michele Orru釋出了一款自動化網路釣魚工具，並且將其命名為PhishLulz。這個釣魚框架主要是由ruby所編寫，並且執行起來十分高效。在演示過程中，安全專家只需要10分鐘就能搭建起釣魚環境，進行精確的釣魚攻擊。

釣魚框架特點

該釣魚框架已經開源，並且釋出在了github上，目前已經有10人fork，60多人star。可以說這個開源專案受到很多人的關注，接下來的發展會越來越穩定和突出。

特點

該釣魚框架主要是基於PhishingFrenzy和BeEF兩大開源專案組建而成，從理論上來說，它有著那麼幾大特性。

這個釣魚框架可以建立一個SPF記錄。也就是說，如果域名沒有設定SPF記錄，那麼可以被該釣魚框架偽造郵件。讓我最感興趣的還是它可以輕易的躲避垃圾郵件過濾器，成功的讓對方收到釣魚郵件。於此同時，它還可以通過圖表記錄釣魚成功的人數，區域劃分，目標IP地址等等資訊。

該釣魚框架還可以自定義各種各樣的模組，以此來針對不同目標的攻擊人群。並且框架一直在持續增加和更新中。

在最後這個框架還可以生成各種格式的釣魚報告，來總結釣魚攻擊的詳細資訊。

工具介紹

phish_lulz：啟動或者停止釣魚攻擊

tools/find_resources：多執行緒子域名掃描和指紋掃描

tools/mailboxbug: 多執行緒email資料傳送模組

tools/mail_parser：從.eml檔案中提取HTML和TXT資料

namecheap_wrapper: 自動化註冊域名

預設登陸口令

MySQL root user: phishlulz_mysql

PhishingFrenzy admin user: phishlulz_frenzy

BeEF beef user: phishlulz_beef

要求

1.亞馬遜AWS的賬號（在配置檔案config.yaml處寫上配置資訊）

2.不得是windows或者Mac OS系統

3.具有ssh, scp和openssl服務

4.具有Ruby環境

5.Gecko或者Chrome核心型別的瀏覽器（比如firefox或者chrome瀏覽器）

是福是禍？

根據該義大利“老司機”Orru在會議上的演講，可以總結得出，在早晨或者午餐後傳送的釣魚郵件更有成功率。在Orru對澳大利亞官員調查測試的過程中，有40%的澳大利亞公務員開啟了釣魚電子郵件，並且還傳送了各種VPN登陸口令。而Orru這個“老司機”在短短兩天內就獲取到了各種域名的管理許可權。實際上，針對郵件釣魚的思路還是很多，而且普通員工很難注意到.com和.co郵件的區別。

最近幾年，網路安全產品如同雨後春筍般發芽生長，但是針對社工類的安全研究始終止步不前。這個釣魚框架的發行，從好的一方面來看可以推動社工安全前進的腳步，從壞處來看大量的指令碼小子將會運用該框架作為釣魚郵件攻擊等。

其它

該專案本身自帶的自簽名CA，但是需要注意的自動化域名註冊功能是從TODO域名供應商那裡註冊，當然你也可以選擇NameCheap域名供應商。

Github專案地址：https://github.com/antisnatchor/phishlul

本文轉自d1net（轉載）