突破物理安全:社交工程实战之击败人员访问控制

本文详细描述了如何通过社交工程技术绕过企业物理安全措施,包括伪装内部人员、尾随进入、利用人性弱点等实战技巧,揭示了物理安全中的常见漏洞与防御盲点。

突破物理安全:击败人员访问控制

Sally Vandeven //
某天我发现自己有点空闲时间(而且我没有告诉项目经理),所以觉得这是写博客的好时机。我问了两位朋友/同事是否有想看的主题,有趣的是,他们不约而同地提出了同一个话题:他们想了解我们进行的一些物理渗透测试。好主意!这既有趣又吸引人,而且大多很好玩(稍后会详述)——那么,开始吧。

组织雇佣我们来测试其网络的安全性。从宏观角度来看,计算机安全基本上可以归结为访问控制。核心在于防止恶意内容进入组织,并阻止有价值的内容流出组织。当然,现在是2016年,在安全领域,我们已经接受了坏事总会发生的前提,因此我们应该同时关注检测和预防。

安全工程师、审计员和渗透测试员都有相同的目标——提升组织的安全态势。但作为渗透测试员,我们的工作是以可控的方式展示风险。我们不是告诉组织如果不修补系统或不查看日志会发生什么,而是向他们展示可能发生的情况。这对于那些对安全项目预算持怀疑态度的管理者来说,往往具有启发意义。我发现,在展示物理访问攻击时,这一点尤其明显。让我用一个例子来说明。

我和一位同事正在为某个组织进行物理渗透测试。我们的任务是通过社交工程进入大楼。在这个案例中,不允许开锁或克隆门禁卡。大楼的所有外部门和许多内部门都采用RFID门禁卡进入。每扇锁着的门上都贴有“禁止尾随”的标识。前门在营业时间内保持开放,但门内立即设有一名保安/接待员,可以完全看到门口的情况。接待处有一张签到表,上面写着“访客必须签到”。

所有入口门都安装了摄像头,前门保安/接待员有一组显示器显示视频流。大楼内部,员工需要使用门禁卡才能操作电梯。当然还有楼梯间,但从楼梯间一侧是锁住的,需要门禁卡才能从楼梯间打开。只有楼梯间一楼的外部门可以从内部无需任何访问控制打开。这当然是一种安全措施,确保在紧急情况下大楼内的所有人可以轻松撤离。换句话说,如果你发现自己身处楼梯间而没有正确的门禁卡,你唯一能去的地方就是外面。此外,所有员工都在隔间农场或开放式办公区工作,每个区域都 behind 一扇锁着的门,访问控制由RFID门禁卡强制执行。对某些人来说,这听起来像是无懈可击的安全措施。但对坏人或有心计的渗透测试员来说,这听起来像一个容易的目标。为什么?因为作为渗透测试员,我们了解到,如果你看起来和行为都像内部人员——就像你属于那里一样——击败访问控制很容易。

看起来像内部人员

任何好的物理评估都应该从一些侦察开始——俗称“踩点”。我们租一辆不显眼的车,开车到目标地点,寻找如何让自己看起来属于那里的线索。如果员工穿西装,我们就穿西装。如果员工穿着随意,我们就穿着随意。如果员工佩戴或携带门禁卡,我们就制作并佩戴类似的门禁卡,等等。无论如何,要融入其中。

对于这次特定的评估,我们观察到员工有门禁卡,并且大多数都挂在特定颜色的挂绳上。员工入口附近有一张户外野餐桌,我们坐在桌旁,近距离观察人们进出大楼时携带的门禁卡,以至于我们能够以惊人的准确性复制一个。这些只是外观相似的仿制品,不是RFID克隆卡,所以它们唯一的功能是帮助我们看起来像合法员工。你可能会想知道,我们观察的员工是否觉得陌生人在他们的户外午餐点坐着很可疑,你这么想是对的。答案是,我想有些人确实觉得可疑,但根据我们的经验,他们很少接近我们或报告我们。我们还观察到,尽管门上贴有禁止此类行为的标识,员工们还是让别人尾随进入。

行为像内部人员

一旦我们了解了地形,并制作或购买了我们需要的所有道具,我们就开始行动进入大楼。与远程网络评估不同,涉及社交工程的物理测试中,每个人只有一次机会;如果你被抓住,就结束了。因此,我们通常一次进入一个人,并在大楼内保持分开。在这次特定的场合,我首先通过尾随其他员工进入。他们很乐意为我开门。为什么?因为人们通常互相体贴,想要提供帮助,我们利用了这一点。我知道这听起来很冷酷和残忍,但由于犯罪分子就是这样操作的,而我们试图展示风险,所以我们也会这样做。所以,它是这样工作的:如果你设置情境,让任何不为你开门的人显得粗鲁,那么你就会成功进入。这次特定的尝试是这样发生的:

  • 仿制门禁卡挂在我的脖子上。
  • 我一只手臂抱着一些书和文件,还拿着早上的咖啡。
  • 我的手机贴在耳边,好像在和人通话。
  • 我微笑着与接近门口的人进行眼神接触(我从停车场观察了他们,并相应地精心安排了接近时机)。

门被慷慨地为我打开,我进入了大楼。为什么他们让一个陌生人进入?

  • 当有人在打电话时,其他人不愿意打断。
  • 人们习惯于为他人开门……尤其是老年人和女性。就我而言,我是一名老年女性(从没想过这在这个行业会是一个优势,对吧?)
  • 我看起来可能在大楼里工作,而且我显得快乐和自信,好像我在正确的地方,所以任何在那时拒绝帮助我的人都会制造一个尴尬的局面,并可能在这个过程中觉得自己像个混蛋。(顺便说一句,这是物理测试中我们大多数人真正不喜欢的一点——利用别人的善意)

成为内部人员

一旦你进入大楼,接下来会发生什么?我发现这是评估中最棘手的几分钟,因为在大多数情况下,除非你幸运地提前找到了平面图,否则你不知道大楼的布局。如果让你进入大楼的人有任何怀疑,如果你在这个时候看起来不知道要去哪里,他们肯定更可能采取一些行动。我发现最成功的方法是大胆进入并继续前进,看起来匆忙——就像我要迟到开会一样。

一旦我找到一个安静的地方,我会停下来评估目前的情况。例如,我寻找安静的走廊、会议室、洗手间,甚至是一排空隔间中的座位。这时我还会通过短信联系我的同事,并开始拍照时间线。拍照时间线只是定期用手机拍照。时间线在评估后期以及撰写报告时非常有用。基本上,拍照时间线帮助我重现我在大楼内的路径,为客户提供时间戳(他们可以对照访问日志),并可能是未被发现退出所需的线索。当我们第一次进入这栋大楼时,我们不知道我们会在里面待上几个小时。

在这次测试中,我在大楼后部发现了一扇未报警的外部门,活动很少。有一台摄像头对着门,但我们假设保安可能不会观看,结果确实如此。通过短信,我与同事沟通,引导他到门口,并从内部打开门让他进入。他也可以尾随进入,但如果我们能展示不同的进入方法,对客户来说更有价值。

现在我们都 inside 了,我们分头行动,以便在寻找目标时覆盖更多区域。我们的联系人(PoC)要求我们找到的目标是数据中心,我们被要求尝试进入,拍照作为证据,然后离开——篡改硬件不在范围内。

由于大多数区域需要刷卡进入,我们不得不 everywhere 尾随进入,包括电梯。我们通过艰难的方式学到了这一点。在彻底搜索了大楼的一层并与同事对比笔记后,我们决定是时候移动到另一层了。我找到一部电梯,“呼叫”它到我所在的楼层。当门打开时,它是空的,没有其他人在等电梯;我独自一人。我进入电梯,检查控制面板——有一个RFID访问垫。嗯。抱着万一不需要刷卡的希望,我按了另一个楼层的按钮。没反应。RFID垫上的灯是红色的。不是好兆头。我试了另一个按钮。没反应。与此同时,电梯门关闭了,我在里面。里面立刻变得闷热,所以我按了我所在楼层的按钮。当然那应该被允许。没反应。我被困在里面,无法移动。我发短信给同事,令我惊讶的是,我有足够的信号,短信发出去了。他找到了我们希望在另一层的同一部电梯,并按了按钮召唤电梯。当门打开时,它是空的——另一部电梯被召唤了。我最终在电梯里被困了大约10分钟,但感觉像2小时!最终,由于其他人使用电梯,“我的”电梯终于被召唤服务,当门打开时,我留在里面,试图保持冷静。进入电梯的人看了看我,我笑了笑。他们刷了门禁卡,按了3楼,正是我希望的楼层,我得以在未经授权的情况下“搭便车”到下一层。如果进入电梯去三楼的人注意到任何楼层的LED灯都没有亮起(意味着我没有刷卡请求特定楼层),他们没有对我说什么,允许我一起乘坐。再次,人们倾向于避免冲突,通常不喜欢粗鲁,所以我们利用这一点。

我们在楼内花了几个小时,但没有找到数据中心,我们的目标。它没有标记,显然隐藏得很好。沮丧之下,我们找到了一个自助餐厅,坐在一起制定新计划。当然,数据中心 behind 我们那天早上遇到的许多未标记的锁着的门之一,但到底是哪一个?开锁和门禁卡克隆不在这次特定评估的范围内。我们问自己,还有什么访问控制可以击败?答案当然是人类——人员。所以我们决定寻求帮助。我们 approach 一位看起来友善的接待员(不是前门的那位,因为她受过训练,会怀疑并发现未经授权的活动)。我们找到了我们猜测可能是正确楼层的一间办公室套间(再次搭便车回到那里),并进入了套间。接待员问是否能帮助我们,我们说:“是的,你可以!我们在找数据中心,因为我们应该在那里见某人,但找不到。你能指给我们正确的方向吗?”

与前门的保安不同,这个人受过训练要乐于助人和礼貌,她尽职地回答了我们的问题。宾果。不知不觉中,我们站在了数据中心前。接待员注意到我们要见的人不在那里,问我们是否应该打电话给他。我们说不用,我们会等他,并感谢她的帮助。她离开了。现在我们只需要找到一种方式进入。我和同事已经决定,要么成功要么失败。我们都能听到约翰的声音在脑海中回响:“推到边缘!如果你没被抓住,说明你不够努力。”所以我们知道,除非1)我们进入或2)我们被抓住,否则我们不会离开。

你看,被抓住也为客户提供了宝贵的信息。我们击败尽可能多的控制以显示弱点所在,但我们继续直到被抓住以显示强项所在。最终,在几次尝试说服某人打开数据中心门并允许我们访问后,有人提醒了保安,我们被 promptly 要求离开。顺便说一句,我们有一张“免狱卡”,一封由高管签署的信,声明我们被授权在那里,并包含了保安可以拨打电话验证的号码。有趣的是,在那个特定案例中,我们只是被要求离开大楼。我们照做了。任务完成。

击败的访问控制回顾:

  • 大楼有多个员工进出的入口,但都没有使用旋转门确保人们一次进入一个。面对现实吧。游乐园在这方面做对了,因为每个进入公园的热门人物最好有有效的门票——这是他们的生计!跳过旋转门比 casually 通过别人 held 开的门进入要困难得多。
  • 只有一个入口有强制控制;前门有保安。
  • 单个保安无法同时看前门、检查门禁卡、让访客签到并一直观看所有监视器。
  • 电梯无法检测一次有多少人进入轿厢;让电梯运行只需要一次门禁卡刷卡。
  • 人们通常互相体贴,想要提供帮助。

即将到来:

让我们变得物理第二部分;击败硬件访问控制
敬请期待…

*想边读边有点背景音乐?Olivia Newton John的“Physical”是明显的选择!

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次