社会工程学简单来说就是攻击者利用人性的弱点,骗取你的信任,从而获取信息的行为。比如众人熟知的杀猪盘,就是通过和你谈恋爱等一系列行为获取你的信任,猪养肥了也就是获取了足够的信任就会骗取你的钱财,这就是典型的社会工程学攻击。
在攻防演练中,也随处可见社会工程学,当红队大佬们从web资产方面无法获取权限的时候,就会考虑采用社会工程学攻击。比如伪装工作人员进入单位,向单位主机植入木马病毒;制作钓鱼页面诱导企业员工点击;互联网中寻找单位工作群等,从中获取个人身份信息;连接单位WIFI,利用WIFI进入单位内网等。社会工程学攻击防不胜防,这就需要我们具有一颗时刻保持警惕的心。接下来我就用我亲身经历的一些列子给攻防红队的小伙伴们分享一下如何利用社会工程学拿分。当然,我也会给出如何防范社会工程学攻击。
在对某个高校进行测试的时候,发现该高校有防火墙+IPS+WAF三层防护,从外部很难突破,就想着能不能利用社会工程学。学校一般都会有班级群、表白墙等,去qq搜索了一下,发现了很多班级群,但是班级群一般进群都要身份验证,就放弃了。搜了搜表白墙,发现了两个,看了看空间加了一个访问量多的。
继续逛逛表白墙空间,第一个就看到一个捡到校园卡的,想到还有一个表白墙,我就把这条信息发到另一个表白墙上了,想着这个失主能不能联系我一下,这张图片只有一个名字,其他信息都被打码了,尝试恢复一下图片失败了,防护意识还挺高。看着表白墙里各种找对象我突然灵光一闪,换了个女生头像换了个性别就给表白墙发了张美照,说我闺蜜要找对象了都快快加他qq。
还是找对象的快啊,大学生们这么有爱心吗,一听到闺蜜缺对象就来帮,真好(邪魅一笑)。我就和他聊天套信息了,看图:
接下来就是想办法套取生日之类的了,当然最主要的还是学号,教务系统的账户就是学号,这里看他有点戒心了就赶紧搬出我迷信的话术。
好的,姓名、生日和学号到手,去教务系统试了试学号/学号,好家伙直接登陆成功,早知如此何必当初,逛了逛教务系统,发现有个上传的地方可以上传任意文件,可能前端防护比较好所以系统的漏洞就忽略了吧。接下来就是常规操作了,上传免杀马获取权限,然后内网横向,当时这个单位大概得了四千分吧。
后面大概有两天吧,那个丢卡的居然也联系我了,我都快忘了这个事了,不过已经拿下权限也就不搞了,向他套了套学号,大概就是你说下学号我证实下你的身份之类的话术,然后当作一个弱口令提交了,毕竟蚊子再小也是肉。
2.1.1 学校单位社会工程学思路
这里提供一些我在学校单位的社会工程学攻击思路:
学校的教务系统一般都是学号,默认密码也一般都是学号或者8个8这样,有时候学生会改密码,但学生的密码多是生日加名字首字母,所以我们需要获取的信息就是学号、生日和姓名。最好的地方就是表白墙和班级群,或者可以用谷歌语法去碰碰运气看有没有敏感信息泄露。
对于学生来说,正值青春年华,荷尔蒙就是最大的弱点,如果你有耐心,可以向我一样假装谈恋爱,如果你本来就是女生就更容易成功了。谈恋爱是最容易获取信任的方式,你可以偶尔给他买个小礼物来增加信任,然后获取“男朋友”“女朋友”的账户就比较简单了。
对于密码策略比较强的学校,可以联系学校的教务处修改密码,但是会核实你的身份,这里建议你先打一遍电话,问问修改密码是什么样的流程,一般是会核实你的名字、学号、班级和辅导员,有的也需要到场才能改,这就需要去近源了,这个办法也是没办法的办法,比较麻烦。
政府单位一般都会购买安全设备和服务器,就我了解定期会有厂商的人联系他升级补丁,这里要注意一定要知道企业的设备提供商。两种方法,一种是去搜索这个单位的招标公告和中标单位,一种是利用网络空间搜索引擎例如fofa去搜索他的资产,看看能不能找到厂商信息。
经过查看招标公告和中标单位,我发现一个单位的OA系统,正好我一个朋友在这个OA系统开发厂家,这不是正好伪装身份。利用谷歌语法发现了该单位一个工作群,试着申请加入(备注我是某公司某某),加入成功了,群里有备注有某某科然后姓名,找了信息科的一个,说有个补丁插件包需要尽快安装。
CS上线成功,有点顺利,查看文件发现了VPN账户密码和数据库账户密码,拨入VPN扫描内网,直接扫到办公网。接下来就是登录数据库等常规操作了,这个单位拿下了近6000分。
2.2.1 政府单位的社会工程学思路
政府单位的网络安全意识相对学校会比较高,尤其现在的情况,进入政府单位去近源攻击是比较难的,除非实在没分拿了,对于政府单位,我能想到可行的就以下这一种方法:
通过查询单位历年招标公告和中标公告查看第三方,看有没有自己熟悉的单位,方便伪装身份去近源或钓鱼。知道了第三方和购买的设备,就可以去尝试钓鱼,可以做一个钓鱼页面让他去输入,也可以像我一样去发文件或者邮件让他点击,这样就可以CS上线了。
医疗单位我基本都是近源攻击,不好直观展示,这里举一个某恒小伙伴的例子,他是给医院客服发了个图片,然后控制了客服的电脑。
客服直接点开了图片,成功CS上线,可以说没有安全意识,不过医院也确实难以防止,客服每天要点开大量民众的病历等文件,这个小伙伴直接远程电脑看到聊天画面。
2.3.1 医疗单位的社会工程学思路
医院和其他单位的区别就是医院是面对民众服务的,很难防止近源攻击等社会工程学手段。对医院的社会工程学就很多了,我列几个我觉得不错的方式:
去医院挂号,然后假装没网询问WIFI密码,当然这个WIFI最好是去医生办公室再问,不然公用WIFI很可能没有连接办公网。知道WIFI密码就可以去横向扫描,扫描端口。扫描弱口令等,办公网一般会有很多弱口令,拿下一台电脑就可以进行其他内网渗透的常规操作了。
可以用帮忙打印文件的方式插入植入木马U盘从而控制打印机去横向渗透。
很多医院有网上咨询,你可以去咨询然后发送自己的病历,在病历中植入木马,就很容易CS上线了。
从以上三个例子可以看到,社会工程学攻击的成功都是因为网络安全意识的薄弱,那么要想很好的防止社会工程学攻击,就要提高员工的网络安全意识。
因此,防范社会工程学攻击的方式总结为以下几点(这里引用我小伙伴的总结,我觉得很不错,原文链接:https://bbs.dbappsecurity.com.cn/forumhome/detail/62bd0cc9fc3b565090ecbdba):
开启内部社工攻击演练,通过内部秘密进行社工攻击,最后将攻击成果进行内部宣传的方式,让员工清楚网络钓鱼对于企业的危害、对于员工会造成什么样的影响,激发员工的责任感,了解网络安全的重要性,从而开启员工的安全意识。
加强员工的网络安全意识,通过前期的网络安全意识强化,开展员工的安全意识培训,从细节方面让员工懂得如何安全的使用网络,如何避免被网络钓鱼。
让员工拥有持续性的网络安全意识,不定期的开展一次内部网络钓鱼,将员工的安全意识转化为行为习惯。
密码;账号;密钥;任何个人信息;相关证件;电话名单;计算机系统的详情;具有访问权限的人的名单;服务器、网络、非公网URL地址、内部局域网等信息。
冒名顶替:克隆网站地址,伪装与网站界面一样的网页,用户打开后即可达成预定任务。
投桃报李:双方通过利益交换来交换自己所需,而诱骗者每次给予的利益愈大,从而诱惑对方为后期的持续攻击提供帮助。
异性相吸:利用感情套取被诱骗者的信息。
许以重利:利用人性的贪婪诱导其以点击链接等方式获取其信息。
攻防演练中无论对什么样的单位进行社工,最有用的两种方法就是去近源或钓鱼,这也需要我们红队具有几个基本素质:
要有足够的自信,掩饰欺骗的第一步就是要表现出自信。例如,有人试图进入一个有安防的建筑物时,可能会伪造徽章,或者假装成服务公司的员工。不想被拦截,关键是要简单的表现出你属于这里、没什么可隐藏的。用姿态语言传达出自信让别人放松。“安检人员通常不会查看徽章,他们会留意人的姿势。”另一种方式是通过交谈获得控制权,“一般情况下,提问问题的人会控制谈话”。当有人问你一个问题时,会立刻使你陷入困境,受迫于需要给予正确货恰当的回应,你会感觉到一种社会压力。
拥有足够的社交能力,比如花钱送个礼物、请客吃个饭等,当人们接受了别人的东西,如赞美或礼物,即使他们讨厌对方,也会觉得需要作出回报;或者你说话幽默,能快速拉近关系。
网络安全不允许有短板,这就需要我们有一颗时刻保持警惕的心,攻防演练发现不论企业、政府还是医疗等单位,都存在网络安全意识薄弱的问题,现在网络安全的地位不断上升,若是被不法分子有心利用,那将造成无法挽回的损失。