社会工程学攻击剖析:从策划到执行的技术内幕

本文深入解析社会工程学攻击的全过程,涵盖钓鱼框架、侦察工具、微软Teams漏洞利用等关键技术,帮助企业识别安全弱点并提升防御能力。

社会工程学如何运作?从策划到执行

社会工程学仍然是网络犯罪分子最强大的工具之一,组织每年遭受超过700次社会工程学攻击。Bishop Fox前高级安全顾问Dardan Prebreza探讨了主动社会工程学参与的复杂性——从规划和定义目标到执行各种策略和技术。通过了解社会工程学中使用的方法和工具,组织可以更好地防御这些复杂的攻击。

什么是社会工程学?

在信息安全中,社会工程学涉及心理操纵人们采取行动或泄露对攻击者有利的机密信息。常见策略包括:

  • 钓鱼攻击(Phishing):使用电子邮件向受害者发送精心制作的电子邮件,目的是收集信息和凭据,以及破坏受害者的系统。
  • 语音钓鱼(Vishing):也称为语音钓鱼,使用电话系统收集组织情报并获得系统访问权限。
  • 短信钓鱼(Smishing):类似于电子邮件钓鱼,使用SMS或短信诱使受害者点击恶意链接或提供敏感信息,例如多因素身份验证(MFA)代码。
  • 冒充(Impersonation):主要发生在物理攻击中,黑客假装是其他人以获得对系统或建筑物的访问权限。

设定社会工程学目标

设定明确的目标是任何组织进行社会工程学参与的第一步,两个最常见的目标是:1)提高安全意识,2)识别安全政策和程序中的差距。

具体目标,例如获取VPN或电子邮件凭据或获得远程访问,有助于为安全评估人员定义社会工程学方法。

定义社会工程学目标

成功的社会工程学参与需要明确的目标。安全评估人员将要求:

  • 客户提供的列表,包括姓名、角色和部门。员工的联系信息(如电子邮件和电话号码)尤其有用。
  • 超出范围的目标,以正确理解谁可以/不能作为参与的一部分被针对。

如果客户不想提供或没有现成的列表,安全评估人员将自行进行侦察和情报收集以定义适当的目标。在当今的数字简历世界中,LinkedIn已被证明是信息的精英来源。

创建社会工程学场景

场景是设计用于操纵某人采取行动或泄露敏感信息的具体情况或故事情节。这些通常使用权威和稀缺的影响策略。权威涉及冒充上级迫使目标服从,而稀缺使用紧急行动(如即将到期的密码)来促使仓促响应。

社会工程学中使用的其他影响策略包括承诺和一致性、让步、喜欢、义务、互惠和社会证明。

常见社会工程学场景的示例包括:

  • 可疑电子邮件登录尝试:警告可疑登录尝试的电子邮件将员工引导至看似真实的网页登录公司电子邮件,从而使攻击者能够窃取其凭据。
  • 过期的VPN密码:提示用户更改其VPN密码的电子邮件使攻击者能够拦截凭据并访问公司的VPN平台。
  • IT帮助台凭据重置:冒充员工请求密码重置和临时MFA禁用。通常,他们声称工作电话丢失或感染恶意软件,需要通过个人电话紧急访问。
  • 远程访问:冒充IT帮助台并呼叫员工关于工作站问题,通常 preceded by 关于可疑活动的SMS警报。目标是获得对员工工作站的远程访问,并获得对内部网络和应用程序的后门访问。

社会工程学工具

成功的社会工程学活动使用各种工具,包括公共和专有工具。

  • 钓鱼框架:如GoPhish、Lucy、Modlishka和evilginx2等工具有助于创建令人信服的钓鱼活动。除Lucy外,所有都是开源的。
  • 侦察和情报收集工具:Skrapp.io和LinkedIn Scrapper可用于收集目标信息,而SalesIntel RevDriver特别有助于收集用于语音钓鱼或短信钓鱼的电话号码。所有都提供免费版本,直至一定使用水平。除了这些公共工具,Bishop Fox经常使用内部工具进行侦察。

社会工程学技术

许多技术通过增强伪造通信的明显合法性并利用安全弱点和差距来提高社会工程学活动的有效性。Bishop Fox红队部署的创新技术包括:

  • 利用Microsoft Teams功能:Microsoft Teams的默认外部通信功能使攻击者能够通过创建免费群聊、添加目标并使用虚拟电子邮件地址冒充受害者公司的人来欺骗受害者。这种恶意通信看起来可信,因为它似乎源自受害者组织内部。
  • 侦察外部攻击面:子域暴力破解是基于电子邮件的社会工程学活动的关键步骤,以识别目标组织使用的VPN、电子邮件平台和第三方服务的登录页面。检查被泄露的电子邮件帐户提供潜在的初始访问点。
  • 利用域:利用域弱点是涉及电子邮件欺骗的社会工程学攻击的关键。分析目标的域配置(如SPF、DMARC和DKIM)如果域保护薄弱或缺失,则电子邮件欺骗很容易。注册模仿目标品牌或服务的相似域,使钓鱼攻击具有欺骗性URL——例如,vpngoogle.com而不是vpn.google.com。使用Punycode域(包含特殊字符)以前在钓鱼活动中非常有效,尽管现在使用较少。

社会工程学的真实示例

说明社会工程学行动的真实示例包括:

  • Microsoft Teams攻击:涉及通过密码喷洒破坏帐户,然后通过Microsoft Teams冒充该用户的经理的经理。攻击者说服实习生分享其MFA代码,允许访问公司的Azure环境数周。
  • 语音钓鱼IT帮助台:另一次攻击从密码喷洒开始,然后通过电话冒充IT帮助台欺骗用户透露其MFA代码,声称需要系统更新。
  • 电子邮件和语音钓鱼组合:在一所大学,攻击者使用开放SMTP中继发送冒充IT帮助台的钓鱼电子邮件。在电话提供说明时,他们发送看似来自合法帮助台的电子邮件,要求用户点击恶意链接。
  • 冒充CIO:社会工程师冒充公司的CIO,呼叫IT帮助台声称CIO的电话在紧急董事会会议前被破坏。在回答帮助台的基本问题后,他们试图获取CIO的密码,但帮助台安全地重置了密码。
  • 语音钓鱼勒索软件:在2022年MGM漏洞中,攻击者从LinkedIn收集特权IT员工的信息。冒充这些员工,他们呼叫IT帮助台重置MFA,破坏Okta、域和Azure管理员以窃取数据并部署勒索软件。

作为红队衡量成功

对于执行社会工程学攻击的红队成员来说,成功范围从让单个用户点击恶意链接到完全破坏公司的内部网络。最大的满足感来自破坏高比例的目标——在某些参与中超过一半的目标。然而,即使不成功的尝试也提供了宝贵的教训和见解。以下是我们发现的一些:

  • 安全意识应教育,而不是惩罚。公司必须避免因社会工程学评估结果责备员工。相反,识别并改进薄弱的政策、程序和培训。
  • 持续的安全意识,尤其是对新员工,至关重要。虽然社会工程学揭示IT安全差距,但培训不足往往是根本原因。
  • 多因素身份验证 alone 无法防止社会工程学,因为攻击者可以拦截MFA代码。物理安全令牌(如YubiKeys)是一次性密码的更强替代方案。

结论

了解社会工程学中使用的方法和工具,从钓鱼到冒充,对于提高安全意识和识别漏洞至关重要。定期培训、强大的安全措施和主动方法可以显著降低成为这些复杂攻击受害者的风险。保持警惕并保持安全实践最新,以防范社会工程师不断发展的策略。

要了解更多关于Bishop Fox如何进行其社会工程学参与的信息,请阅读我们的社会工程学方法论。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次