読者です 読者をやめる 読者になる 読者になる

セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

Phishing FrameworkのGoPhishを検証してみた!!

以前、ソーシャル・エンジニアリング系のコミュニティにてGoPhishというオープン・ソースのフィッシングフレームワークを教えてもらい、なかなか使えるという評判を聞いていました。最近やっと検証する機会ができたので、検証結果をまとめています。

なお、User Guideも用意されているのでその通りに使えば簡単に使うことができます。

インストール

サイトからダウンロードするだけです。Windows用のバイナリもあり、実行するとサーバが立ち上がります。

getgophish.com

その後、localhost:3333にアクセスすると管理コンソールが立ち上がりますので、以下のデフォルトアカウントでログインします。(管理コンソールのポート番号は設定で自由に変えられます。また、GitHubに乗っているアカウントは間違っているので注意が必要です。)

  • ユーザ名:admin
  • パスワード:gophish

f:id:security_consultant:20161031060728p:plain

ログインすると、ダッシュボードがでてきます。

f:id:security_consultant:20161031061222p:plain

各種セットアップ

設定の流れとしては、以下の流れになります。

  1. User & Group:送信先メールアドレスを設定
  2. Email Templates:攻撃用メールアドレスをセットアップ
  3. Landing Pages:URL型メールを送る場合の擬装用ページのセットアップ
  4. Sending Profile:メール送信用のSMTPの設定

UIに従い、粛々とセットアップしていけばよいのですが、少し引っかかった点を中心に解説をしていきます。

Email Templates

Email Templateは、実際送付する攻撃用メールのテンプレートを設定する場所です。この設定は一癖あるので、実際に解説をしていきます。

テンプレートを開くと、以下のようになっており、攻撃用メールを書くことができます。{{.LastName}}と記載することでUser & Groupで設定した名字が自動的に保管されます。ほかにも、{{.FirstName}}属性や{{.From}}属性があります。

また、リンクボタンを押してURLを設定することで特定の部分をHTMLリンクにすることも可能です。{{.URL}}属性を使うと、後で設定するURLが自動的に設定されます。

なお、添付ファイルもつけられるのですが、添付ファイルを開く(マルウェアを開く)ことを確認する機能を実装されていないと思われます。

f:id:security_consultant:20161031092020p:plain

f:id:security_consultant:20161031092417p:plain

Landing Pages

この画面は、リンクをクリックした際に表示させるページの設定です。Import Siteという機能があり指定したURLのページをそのまま複製してくれますのでそれを利用するのが手っ取り早いと思います。(なお、ログイン画面を選択すると、そこに入力した値も全て記録してくれるため、便利です)

f:id:security_consultant:20161031093211p:plain

Sending Profile

送信するSMTPを設定する画面です。今回は、簡単のためGMAILを使ってみました。

f:id:security_consultant:20161031093355p:plain

キャンペーンの実施

設定が終わったらキャンペーンタブに行き、メールを配信する準備をします。基本的には、過去設定した設定名とリンクのアクセス先であるURLを指定するだけです。その後、Launch Campaignというボタンを押すと指定したメールに攻撃用URLつきメールが配信されます。

f:id:security_consultant:20161031093630p:plain

すると無事メールが配信されてきます。

f:id:security_consultant:20161031094056p:plain

URLをクリックすると、先ほどLanding Pageとして複製したサイトが表示されます。当然偽者のページなのでログインには失敗します。

f:id:security_consultant:20161105033517p:plain

結果の確認

管理コンソールでは、送付したメールの状況がわかりやすく表示されています。今回は内部ネットワークで確認したため詳細が出ていませんが、たぶんどのIPアドレスからアクセスしてきたのかなどを分析して世界地図部分に反映されるのだと思います。

f:id:security_consultant:20161031093948p:plain

また、さらに詳細情報を見ると、いつクリックされたのか、フィッシングページではどのような入力がなされたのかまで情報が取れるようになっています。

f:id:security_consultant:20161104030026p:plain

総合評価

動作がこなれない部分などはいくつかありますが、日本語も問題なく動くため最低限の実施には問題がないという印象です。また、UIも比較的わかりやすく、きちんとマニュアルを読めばユーザ系企業でも十分活用できるのではという印象を受けます。あまり予算はとれないが、標的型メール訓練を定期的に実施したいという企業には十分お勧めできるソフトなのではないかという印象です。