conducting-spearphishing-simulation-campaign
鱼叉式钓鱼(Spearphishing)模拟是红队用于获取初始访问权限的定向社会工程学攻击向量。与广泛的钓鱼活动不同,鱼叉式钓鱼使用 OSINT 情报精心制作高度个性化的消息,针对特定个人。
Best use case
conducting-spearphishing-simulation-campaign is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
鱼叉式钓鱼(Spearphishing)模拟是红队用于获取初始访问权限的定向社会工程学攻击向量。与广泛的钓鱼活动不同,鱼叉式钓鱼使用 OSINT 情报精心制作高度个性化的消息,针对特定个人。
Teams using conducting-spearphishing-simulation-campaign should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/conducting-spearphishing-simulation-campaign/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How conducting-spearphishing-simulation-campaign Compares
| Feature / Agent | conducting-spearphishing-simulation-campaign | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
鱼叉式钓鱼(Spearphishing)模拟是红队用于获取初始访问权限的定向社会工程学攻击向量。与广泛的钓鱼活动不同,鱼叉式钓鱼使用 OSINT 情报精心制作高度个性化的消息,针对特定个人。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 执行鱼叉式钓鱼模拟活动 ## 概述 鱼叉式钓鱼(Spearphishing)模拟是红队用于获取初始访问权限的定向社会工程学(Social Engineering)攻击向量。与广泛的钓鱼活动不同,鱼叉式钓鱼使用 OSINT 情报精心制作高度个性化的消息,针对特定个人。本技能涵盖开发借口、构建载荷、设置邮件基础设施、执行活动和跟踪结果。 ## 目标 - 针对特定目标人员开发令人信服的借口 - 创建可绕过邮件安全控制的武器化载荷 - 使用正确的 SPF/DKIM/DMARC 配置建立邮件投递基础设施 - 执行具有实时跟踪和指标的钓鱼活动 - 记录结果用于演练报告和安全意识改进 ## MITRE ATT&CK 映射 - **T1566.001** - 钓鱼:鱼叉式钓鱼附件 - **T1566.002** - 钓鱼:鱼叉式钓鱼链接 - **T1566.003** - 钓鱼:通过服务的鱼叉式钓鱼 - **T1598.003** - 钓鱼信息:鱼叉式钓鱼链接 - **T1204.001** - 用户执行:恶意链接 - **T1204.002** - 用户执行:恶意文件 - **T1608.001** - 暂存能力:上传恶意软件 - **T1608.005** - 暂存能力:链接目标 - **T1583.001** - 获取基础设施:域名 - **T1585.002** - 建立账户:邮件账户 ## 实施步骤 ### 阶段一:借口开发 1. 审查目标人员的 OSINT 调查结果 2. 识别当前组织事件(合并、项目、新员工) 3. 选择借口主题(IT 服务台、HR 福利、供应商沟通、高管请求) 4. 制作带有适当紧迫感和权威提示的邮件模板 5. 创建与目标组织品牌匹配的着陆页 ### 阶段二:载荷开发 1. 根据目标安全控制措施选择载荷类型: - HTML 走私(HTML smuggling),用于绕过邮件网关 - 启用宏的文档(如果宏未被阻止) - 包含 LNK 载荷的 ISO/IMG 文件 - 嵌入脚本的 OneNote 文件 - 链接到凭据收割页面的 QR 码 2. 针对目标已知安全栈测试载荷 3. 实施载荷混淆技术 4. 配置到 C2 基础设施的回调 ### 阶段三:基础设施设置 1. 注册令人信服的仿冒域名 2. 培育域名信誉(建议最少 2 周) 3. 配置 SPF、DKIM 和 DMARC 记录 4. 使用 GoPhish 或自定义邮件服务器设置 SMTP 中继 5. 部署带 SSL 证书的凭据收割页面 6. 配置跟踪像素和点击跟踪 ### 阶段四:活动执行 1. 发送测试邮件以验证投递和渲染效果 2. 分批次启动活动(避免大量发送) 3. 实时监控邮件投递率和打开率 4. 跟踪链接点击和凭据提交 5. 向与钓鱼邮件互动的用户部署载荷 6. 捕获截图和证据用于报告 ### 阶段五:活动后分析 1. 计算活动指标(投递率、打开率、点击率、凭据捕获率) 2. 识别向 SOC 举报钓鱼的用户 3. 记录绕过邮件安全控制的情况 4. 将成功入侵映射到 MITRE ATT&CK 5. 为演练报告汇编调查结果 ## 工具与资源 | 工具 | 用途 | 许可证 | |------|---------|---------| | GoPhish | 钓鱼活动管理 | 开源 | | Evilginx2 | 带 MFA 绕过的实时凭据收割 | 开源 | | King Phisher | 钓鱼活动工具包 | 开源 | | SET(社会工程学工具包) | 多向量社会工程学 | 开源 | | Modlishka | 反向代理钓鱼 | 开源 | | CredSniper | 凭据收割框架 | 开源 | | Fierce Phish | 钓鱼框架 | 开源 | ## 验证标准 - [ ] 借口已根据 OSINT 数据针对特定目标定制 - [ ] 载荷已针对邮件安全控制进行测试 - [ ] 基础设施已配置适当的邮件认证 - [ ] 活动已通过投递和交互指标进行跟踪 - [ ] 已为演练报告收集证据 - [ ] 活动结束后已清理基础设施
Related Skills
performing-supply-chain-attack-simulation
模拟和检测软件供应链攻击,包括通过 Levenshtein 距离检测域名抢注(Typosquatting)、针对私有注册表的依赖混淆(Dependency Confusion)测试、使用 pip 进行包哈希验证,以及使用 pip-audit 扫描已知漏洞。
performing-phishing-simulation-with-gophish
GoPhish 是一个开源钓鱼模拟框架,供安全团队开展授权的钓鱼意识培训活动,提供活动管理、邮件模板创建、着陆页克隆和综合报告功能。
performing-csrf-attack-simulation
在授权安全评估中,通过构造利用已认证用户会话的伪造请求,测试 Web 应用程序的跨站请求伪造(CSRF)漏洞。
performing-bandwidth-throttling-attack-simulation
在授权环境中使用 tc、iperf3 和 Scapy 模拟带宽限速(Bandwidth Throttling)和网络降级攻击, 测试服务质量(QoS)控制、应用程序弹性以及网络监控对流量操纵攻击的检测能力。
performing-arp-spoofing-attack-simulation
在授权的实验室或渗透测试环境中,使用 arpspoof、Ettercap 和 Scapy 模拟 ARP 欺骗攻击, 以演示中间人攻击风险、测试网络检测能力并验证 ARP 检测对策。
hunting-for-spearphishing-indicators
跨电子邮件日志、终端遥测和网络数据狩猎鱼叉式网络钓鱼活动指标,检测定向邮件攻击。
executing-phishing-simulation-campaign
执行授权的钓鱼模拟活动,评估组织对基于电子邮件的社会工程攻击的脆弱性。测试人员设计真实的钓鱼场景,构建凭据收集基础设施,发送定向钓鱼邮件,并追踪打开率、点击率和凭据提交率,以衡量人员安全意识水平。适用于钓鱼模拟、社会工程评估、电子邮件安全测试或安全意识测量等请求场景。
executing-active-directory-attack-simulation
对 Active Directory 环境执行授权攻击模拟,识别错误配置、弱凭据、危险特权路径以及可导致域沦陷的可利用信任关系。测试人员使用 BloodHound 进行攻击路径分析,使用 Mimikatz 进行凭据提取,使用 Impacket 进行协议级攻击,包括 Kerberoasting、AS-REP Roasting 和委派滥用。适用于 Active Directory 渗透测试、AD 攻击模拟、域沦陷测试或 Kerberos 攻击评估等请求场景。
detecting-spearphishing-with-email-gateway
鱼叉式网络钓鱼(Spearphishing)使用个性化、经过研究的内容针对特定个人,可绕过通用垃圾邮件过滤器。邮件安全网关(SEG)如 Microsoft Defender for Office 365、Proofpoint、Mimecast 和 Barracuda 提供高级检测能力,包括行为分析、URL 引爆、附件沙箱和冒充检测。本技能涵盖配置这些网关以检测和拦截定向钓鱼攻击。
correlating-threat-campaigns
关联不同时间和组织的安全事件、IOC 和对手行为,识别统一的威胁活动,将其归因于共同的威胁行为者,并提取共享指标以改善检测效果。适用于多起事件出现重叠指标、需要跨组织分析行业范围内攻击活动,或构建活动级别情报产品时。适用于涉及活动分析、事件聚类、跨组织 IOC 关联或 MISP 关联引擎的请求。
conducting-wireless-network-penetration-test
执行授权的无线网络渗透测试,通过测试弱加密协议、强制门户绕过、邪恶双胞胎攻击、WPA2/WPA3 握手捕获、流氓接入点检测和客户端攻击,评估 WiFi 基础设施的安全性。
conducting-social-engineering-pretext-call
规划并执行授权的语音钓鱼(vishing)借口电话,以评估员工对社会工程学(Social Engineering)的易感性,并评估安全意识控制措施的有效性。