社会工程渗透测试教程(三)(1)https://developer.aliyun.com/article/1508398
真实世界的例子
凯文·米特尼克
可能是有史以来最著名的社会工程师,正如在第一章中已经提到的那样。凯文·米特尼克的职业生涯包括一些最疯狂的电话诈骗。他在 1990 年代是“世界上最受追捧的黑客”。有趣的是,米特尼克声称自己编写了第一个钓鱼程序。它是一个虚假的登录模拟器,收集用户凭证!—这与第九章中的凭证收集部分形成了有趣的对比。
就电话黑客而言,米特尼克能够获取什么样的信息呢?员工编号、地址、信用卡号、电话号码、密码——应有尽有。如果你对米特尼克的事迹感兴趣,可以看看《欺骗的艺术》ISBN-10: 076454280X。即使对信息安全领域不感兴趣的人也会觉得这是一本真正迷人的读物。他的一些骗局突显了关于电话攻击的一个有趣观点。小细节可以成就大事。给多人打多次电话并收集微小的信息片段正是这个游戏的全部内容,前提是有时间!了解企业内部行话,或者不时地提及某个名字,这些都会为任何攻击增加可信度。这些细节的价值大于它们各自的总和。
卡取消诈骗
这是目前在英国流行的电话诈骗。它依赖于目标人群在可能未经他们允许就能提取资金的情况下感到恐慌。
基本上,这种骗局始于来自零售店的电话,一个真实的例子是伦敦的苹果商店。冒充苹果商店员工的骗子告诉受害者,有人正在商店里,试图使用看起来像是她的卡之一的卡花费大笔钱。受害者检查她的卡是否都在,发现它们都在。苹果商店员工告诉受害者,他们的卡可能已经被复制了,应该打电话给他们的银行取消卡。此时,员工说卡复制者正在从商店里跑出去,并挂断电话,但不挂断。这样即使受害者在自己那一端挂断电话,通话仍然保持活动状态。
此时,受害者试图打电话给他们的银行,但在恐慌中他们没有意识到电话没有拨号音。攻击者一直在线上。当受害者问:“嗨,这是巴克莱银行吗?”,攻击者回答是,并问他们如何帮助。
受害者解释了诈骗过程,而乐于助人的银行员工告诉她,根据新的安全方案,她可以一次取消所有分配给她的卡,甚至那些不属于这家特定银行的卡。此时,攻击者正在利用受害者的恐惧。受害者实在等不及解决这个问题,于是同意取消所有卡。接下来,她被要求在电话里拨入她的密码,所有这些都被攻击者记录下来。
受害者被要求确认她的完整地址,骗子告诉她,会派遣一个安全的快递员当天取走取消的卡,并确保它们被妥善处理。如果受害者表现出任何抵抗或声称她会自己剪碎卡片,攻击者会说新卡不能发放,直到旧卡被收回。这是为了确保如果这些卡被找回,不会再受到进一步的欺诈,比如身份盗窃。
攻击者给受害者一个代码,告诉他们在快递员到达时询问快递员。如果他们没有提供正确的代码,他们应该打电话给警察。显然,“快递员”是骗子团队的一部分,并向受害者提供了正确的代码。受害者交出一个装满完全激活的信用卡的信封,攻击者知道了密码。
尽管这种骗局可能无法愚弄一些人,但确实有效。这种骗局每天可以让一些犯罪分子赚取超过 5 万英镑!这些是经验丰富的骗子团队,他们日复一日地从事这项工作。他们在电话中听起来很自然,让人完全信服。利用个人的恐惧可以引发在正常情况下可能不会出现的反应。这在社会工程方面是一种有效的技术,正如第三章中所介绍的那样。
当涉及操纵时,金钱总是一个很好的动机。当涉及到所有账户被清空生活积蓄时,人们通常无法对情况进行理性应用。
有关此诈骗的更多信息可以在BBC 新闻网站www.bbc.co.uk/news/business-22513041上找到。
环境声音
在拨打选定目标电话之前,应仔细考虑要使用的借口。他们通常会从什么样的环境打电话?一个旅行推销员可能会从行驶中的汽车或一个繁忙的呼叫中心的帮助台操作员那里打电话。通常需要模仿这些背景噪音,以确保任何诡计都是可信的。如何实现这一点?嗯,尽可能选择真实的事物吧?如果要让电话听起来像是从汽车打来的,那就从汽车打,只要确保安全和合法!
在无法获得真实事物的地方,需要有创造性的方法。这通常意味着招募周围的人参与情景。也可以意味着下载音频轨并在背景中播放。在这方面要小心,如果声音文件在通话中途结束,要准备好随机应变。例如,“是的,这里真的很忙,所以我搬到一个安静的房间”,希望这样会奏效。最好确保在通话之前彻底检查声音道具。
想要播放一些环境噪音,为什么不查看www.freesound.org。这里上传的所有声音都是根据知识共享许可提供的。有很多不同的背景音轨适合任何情景。办公室环境声音,游戏厅,汽车声音,应有尽有。
不过,再次提醒,在使用文件之前务必从头到尾检查,任何错误都可能代价高昂且令人尴尬!
来电显示存在的问题
来电显示是在屏幕上显示来电者的电话号码的功能。在某些系统中,如果联系人已添加到数据库中,还可以显示姓名。
这当然可以成为对抗恶意来电者的一种非常有用的防御措施,但是吗?系统中是否存在可以被社会工程师利用的弱点?使用来电显示作为认证措施是个好主意吗?
一般意见认为,单独使用来电显示作为认证方法根本不是个好主意。以下是一些原因。
来电显示欺骗
在世界某些地区,可以伪造短信和电话的来源。这些服务在英国并不常见,但在美国肯定是可用的。诸如“spoofcard”之类的服务以很小的成本提供这种功能。
在英国曾有类似的服务,比如“Spookcall”。然而,该网站在上线仅仅 5 天后就被关闭了。OFCOM 对提供的服务持负面态度,也有充分的理由。对于任何类似的事情都值得谨慎对待。仅仅因为某项服务或解决方案不是公开可用的,并不意味着它对恶意个人不可用。
电话系统的黑客攻击
我们生活在一个时代,在这个时代,大型跨国组织似乎经常遭到 compromise。组织可以分为两组:那些知道自己被黑了的和那些不知道的。好吧,这可能有点夸张,但这是一个有趣的原则。如果 RSA 或 Sony 可以被黑,那么组织是否真的认为它们不会被黑呢?即使在今天,电话系统的黑客攻击仍然很常见。这些黑客攻击的绝大多数用于骗取高昂的电话费,拨打到黑客拥有的海外号码上。这往往会在相对较短的时间内造成数以万计的英镑损失。如果是这样的话,那么使用这些黑客攻击来拨打内部号码也是可能的。这可能听起来有些牵强,但确实存在。
联系数据库是否更新?
如果接到来自员工的电话,如何进行验证呢?首先看来电显示,然后将号码与内部联系人匹配。更好的办法是,电话系统自动进行匹配,并在号码旁边显示员工的姓名。当来电号码无法匹配时会发生什么?如果是新员工怎么办?如果员工声称手机丢失、损坏或被盗了怎么办?政策和流程能否应对这些情况?新员工获得电话需要多长时间?如果被认为这是常见的需要花费几周时间,那么当一个未知来电联系时,为什么通话处理员会注意到任何可疑情况呢?
任何联系数据库的情况很可能一直落后于实际情况,并且每个通话处理员都会知道这一点。
转移来电显示
值得注意的一个有趣点是,并非所有的电话系统在呼叫转移时都会传递来电显示。在一些较旧的系统中,将呼叫转移给他人时,来电显示可能会显示转移者的信息。因此,值得尝试确认一下能够将呼叫传递给目标的总机或前台的号码。不幸的是,除非你在侦察阶段获取了有关电话系统的信息并研究了其文档,否则不可能知道实际显示了什么。让内部用户使用他们的 ID 将呼叫传递的意图是利用认证链。这就是用户的想法:“简传递了那个电话,并告诉我是鲍勃,所以肯定是鲍勃。” 你已经假设了另一个人已经对来电者进行了认证,但更有可能是他们没有!
如何确定你的来电显示
那么,有关确定目标是否拥有来电显示的情景呢?或者如果呼叫被转接给另一名员工,显示的是什么号码?在打入电话并被转接给某人后,试试这个:
| 我: | “嗨,我是人力资源部的鲍勃,你能帮我一个小忙吗?” |
| 他们: | “当然,我能为你做什么?” |
| 我: | “他们正在更换我的商务手机号码,因为有骚扰电话,你能告诉我你的屏幕上显示了什么吗?我想知道它是否已经更换了” |
| 他们: | “当然,是 555-444-333-222” |
| 我: | “太好了,谢谢!” |
这是一个很好的简单示例,从目标中提取出看似完全不敏感的信息。对于受害者来说,他们所读回的只是你的号码,一切都很无害,但它可以确定来电显示是否正常工作,或者在内部转接呼叫时是否显示。
总结一下
来电显示绝对不是完全可靠的东西。系统中至少需要建立另一个认证因素。不过,需要注意的是,不要选择人们可能多年来都自由提供的信息。那些信息无法收回。选择对每个员工都是独特的,足够私密以不成为常识,但又足够开放以便电话接线员使用的东西。
在电子邮件攻击的基础上构建
在电子邮件攻击向量期间收集了大量有用的信息,其中许多可以在电话攻击阶段应用。
首先,毫无疑问,会获得几个内部分机号码,这些号码可以在办公室外使用。分机号码通常由外部可用电话号码的最后三到四位数字组成。这是假设整个电话号码没有包含在签名中的情况下,而事实几乎总是如此。
谁不在办公室,以及不在多久也是知道的。这个信息单独来说就是一条无价的情报,经常被充分利用。
外出办公回复很可能包含其他同一团队内工作人员的联系方式,在他们不在时可以联系这些人。这些人可能会毫不犹豫地提供帮助。他们可能不会想要和度假期间的同事确认任何细节。
这里有一个可以利用这一情报的示例通话。本示例将建立在“外出办公回复”一节中指出的情景上,该节位于第九章中。
我不在时请联系萨拉
当外出办公回复带回另一个联系人和他们的电话号码时,对于任何社会工程师来说都是非常有用的。很可能这个人甚至都没有被告知他们将成为缺席员工的接收者。下一步的一个很好的方法是查看目标的 Facebook 资料,看看是否可以找到他们去了哪里的信息,这种内部信息将有助于建立对缺席员工的了解和信任。
这样的电话会怎样发展?
| 我: | “嗨,萨拉,我是来自 zxycorp 的比尔·罗布森,上周我和罗布谈过我们一直在进行的审计工作。他告诉我你是他不在时需要联系的人?” |
| 萨拉: | “嗨,比尔,是的,看起来我有幸在接下来的几周里处理罗布的工作!” |
| 我: | “我猜这对某些人来说没问题,他们飞往加勒比海,而我们其余的人则留在这里辛苦工作!不管怎样,罗布说你能帮我访问一些存放在他电脑上的文件。由于公司政策不允许通过电子邮件发送敏感审计数据,他不想这样做。” |
| 萨拉: | “是的,这些天他们不让我们发任何东西,太疯狂了。” |
| 我: | “告诉我吧,我得到处奔波收集这些信息。感觉就像又回到了过去。不管怎样,我这周任何时间都可以过来收集信息。罗布说你应该能登录他的电脑,我会带一枚加密的 USB 存储器,这样我们就可以安全地拿走数据,你这周有什么空闲时间吗?” |
| 萨拉: | “星期四下午 2 点怎么样?” |
| 我: | “好的,我会在前台帮你问问的,很高兴能和你交流。” |
到达时,顾问需要准备充分。首先,要穿得像样。这意味着提前到达并遵守公司着装规定。要知道正在寻找哪些文件,即使它们不存在,这也给场景增加了可信度。幸运的话,工程师会被留下来单独搜索文件,这时他们可以大展拳脚。至少,可能有机会在萨拉登录时偷看她的肩膀。最多的情况下,可能有机会留下一个持久的后门,以供进一步攻击。在完成后,尽量试图独自离开,因为可能还有其他目标可以实现。此时,顾问很可能已经有了访客徽章,因此可能会毫无挑战地通过。
你会打给谁?
选择要打电话给谁本身就是一种技能,特别是当最终需要打几个电话才能最终与他们交谈时。
在公司网站上发布的任何号码很可能是通往前台、总机甚至帮助台的通用号码。这些真的是我们想要交谈的人吗?这里有利有弊。积极的一面是,这些部门都雇佣了人,他们唯一的目的就是帮助别人。硬币的另一面是,他们很可能在以一种统一和脚本化的方式处理电话方面有很深的造诣,并且不太可能偏离标准。因此,归根结底,问题在于:必要的信息是否可以从其他地方获取?
在许多情况下,进一步研究并找到不太熟悉处理呼入电话的人并尝试转接给他们可能更有益。这样做的可能性更大,他们会想尽快摆脱打电话的人,因此更有可能泄露一些不应该泄露的东西。另外,他们不太可能接受过教育以知道电话中应该和不应该泄露什么。另一个需要注意的地方是,接听电话的人可能已经接受过培训并提供了认证外部电话的资源,而其他员工则没有。这里试图识别的脆弱性是非接听电话员工的培训不足。修复方法很简单,让所有非接听电话员工将外部电话转回总机或帮助台。
我们曾经利用过类似的情况,尽管运气极好,这也是我在进一步的工作中走上这条道路的原因。
目标是获得对一个规模较大的区域办公室的实际访问权限。
需要的是区域办事处的一个可以授权通行证并赞助访问的人的姓名和联系方式。为了避免引起警报,避免打电话给区域办事处本身。因此,逻辑的方法是联系总部的交换机。交换机的号码是在早先的侦察演习中获取的。首选选择是冒充总部站点的员工;这就是第一个电话的情况。
| Them: | “嗨,xyz 公司,我是莎拉,我能帮到您什么?” |
| Us: | “嗨,我是人力资源部的鲍勃,你能帮我解答几个问题吗?” |
| Them: | “当然,鲍勃,我能为你做点什么?” |
| Us: | “我正和几位同事一起前往利兹办公室进行培训,但我忘记提前发邮件告知安保我要来了,我知道他们对这些事情很敏感。你能告诉我需要联系谁来安排通行证吗?” |
| Them: | “对不起,鲍勃,我手头上没有那些信息” |
| Us: | “噢……我想我应该做好更充分的准备!你能给我前台的电话号码吗?” |
| Them: | “没问题,让我查一下……电话是 555.666.111” |
| Us: | “谢谢您的时间,莎拉,您知道今天利兹前台会有谁吗?” |
| Them: | “联系表上写着苏” |
| Us: | “再次感谢您,莎拉,再见” |
这是一个实际的电话,虽然经过了大幅编辑和消毒以保护无辜者。这是由一位同事在车内打的电话。在这方面有一个好点要说明,当拒绝提供一项信息时,一定要有备用方案。可能是员工不知道答案,那么你的备用方案就是“您能找到知道答案的人吗?”此时,他们可能会透露另一个姓名和联系电话。然后,后续的电话可以包括点名莎拉的内容:“嗨,我刚和莎拉通话,她说你能够……”频繁的假设是莎拉已经验证了来电者。再次强调,这种技术是在滥用认证链。
下一个电话是打给区域办事处本身,这就是非通话处理程序开发的地方。打电话时,苏正在外出办事,顶替她的人对访客的协议不是很熟悉。
| Them: | “下午好,xyz 公司利兹,我能为您效劳吗?” |
| Us: | “嗨,是苏吗?”(点名) |
| Them: | “嗨,这是凯特,很抱歉,苏现在不在,我能帮到你吗?” |
| Us: | “我相信你能够的,凯特。我们刚和雷丁办公室的莎拉交谈过,她说苏会为我们安排一些通行证,并告诉我们会议室在哪里。我们今天要进行员工意识培训” |
| Them: | “我找不到任何相关信息,今天的访客记录中也没有任何内容” |
| 我们: | “我们的一些情况可能发生了误解!对此感到抱歉。我们将在大约 15 分钟内到达,Sue 会回来吗?她将能够处理这个问题” |
| 他们: | “她至少还要几个小时才能回来” |
| 我们: | “哦,那好吧,我们到了就会找你,然后我们可以解决通行证的问题” |
| 他们: | “好的,我马上就到” |
事实上,在谈话快结束时有些犹豫不决,但是因为穿着西装,看起来很专业,她被迫处理“访客”并分发了一些通行证。他们只带了一些匆忙制作的公司徽章,放在徽章套里,这些徽章是用喷墨打印机打印的,而且有信心说服其他人它们的合法性。
有时,采取非常接近的策略可以使局面直接落在他们的脚下,以查看他们的反应。在许多情况下,反应将是恐慌的。如果已知与您打交道的人经验不足或未受过良好的培训,则应施加压力以查看结果。
在第九章中,讨论了使用电子邮件进行积极情报收集的概念,以获取后来在评估中可能对我们有所帮助的情报片段。
这个概念也完全适用于电话,尽管这略微更加危险。这主要是因为与电子邮件地址相比,电话通话增加了压力。在开始打电话之前,有必要对故事进行充分排练并充满信心。尽量避免引起怀疑,并由于缺乏准备而对进一步工作产生负面影响。
在电子邮件第九章中,讨论了发送几乎可以抛弃的电子邮件的主题——这些类型的电子邮件不会引起怀疑,每天都会被企业看到。在收集信息时,同样的原则大多会被应用到我们所做的电话中。
工作查询
大多数企业将定期收到职位空缺的查询,但是这种性质的电话询问可以帮助我们进行接触吗?一项看似无害的查询是否可以提供可以用于进一步攻击的信息?看一下可以获取的信息类型,就会显而易见它可以。
首先,我们可以确定谁负责组织的招聘工作。这些信息可以用来更有效地针对攻击,例如确保恶意载荷以简历的形式发送。
如果确定第三方负责招聘,这可能被用于进一步攻击中冒充他们。例如,查看企业网站上的任何职位空缺,然后打电话假装是招聘人员。那么,为社交工程团队的一名成员安排面试如何?这至少可以让顾问进入安全控制的门,进入受限区域。同样的概念也适用于内部处理招聘的组织。值得注意的是,这完全取决于分配给该任务的时间范围。在大多数情况下,这不太可能是一个快速成功的方法。
另一个角度是发现是谁负责内部部门的潜力。例如,与招聘主管谈论 IT 角色,然后请求与负责 IT 团队的人交谈,向他们询问一些关于工作的问题。这不仅可以得到另一个内部联系人,还有与内部人士建立良好关系的潜力。这种关系可以建立起来,并在以后进一步利用。
销售电话
销售电话对任何企业来说都会成为日常事件。这意味着可以冒充销售电话而不必担心被揭穿。更好的是,撰写一个假托词,并让销售团队打电话增加真实性!销售人员是天生的社交工程师,他们每天都在这样做,为什么不利用这一技能呢?
首先,在处理 IT 或软件业务时,拨打主要帮助台,并要求与负责 IT 相关采购的人交谈。在这一点上,已经做了一些功课,这使得顾问可以直接要求与此人交谈。试着开始谈论一份关于防病毒软件的优惠,并询问他们是否打算在短期内解决这个问题。通常听到人们直接回答“我们使用麦克菲,许可证还有 2 年的有效期”,但也会有人说他们已经有了,而且他们不感兴趣。然而,没有什么能阻止你追问更多信息,一个简单的“请问你目前使用的是哪款防病毒软件?”大多数销售人员都会尝试这样做,这样他们就可以尝试将他们的产品与内置竞争对手相提并论,所以这听起来并不突兀。在实际任务中,这些信息可以用于准备可能更有可能绕过目标防病毒软件的有效载荷。在此提供的一个实用提示是在虚拟机中安装它,然后测试各种组合,直到找到有效的方案为止。花时间做好准备总比在现场访问期间造成混乱要好。
- 那么,一个可以获取有关物理安全信息的例子呢?同样的方法在这里同样有效。打电话并询问谁负责设施管理。也许在这种情况下作为一个站点安全公司的销售人员,提供闭路电视安装、报警器维护、门禁系统和保安人员。同样,这里的目标是找出他们目前拥有什么,以及是否存在任何覆盖漏洞。再次,如果他们回答说“抱歉,我们已经有 xyz”,就要求提供供应商或正在使用的系统的名称。如果他们提供了目前管理建筑物的安全公司的名称,这可能在后续的冒充尝试中使用。如果交流是长期的,可能可以制作制服和徽章。
- 调查
- 调查是那些永远不会消失的老掉牙的社会工程陈词滥调之一,但它们有效吗?想象一下接到那通电话的接收者的感受:
| - | 询问者: | “嗨,你能帮我回答一些调查问题吗?” |
| - | 你: | “嗯,不,走开” |
- 好吧,这进展得很顺利。开玩笑的话,和大多数事情一样,关键在于问题的提出方式。问题的措辞不仅如此,假设也很重要。在上面的例子中,一个陌生人打电话询问是否愿意浪费宝贵的时间回答一些基本上毫无意义的问题。答案几乎总是不。
- 唯一让这些问题留下印象的方法是激励他们想要回答。尝试选择一个有权威的人来完成这项工作,或者一个官方职务的人,比如来自国家统计局或地方商会的人。诀窍是保持简短,可能只有四到五个问题。
- 一个很好的例子是打电话进行一项关于社交媒体在工作场所影响的调查。问题可能是这样的:
- 你是社交网络网站的成员吗,比如 Twitter 或 Facebook?
- 你大约多久使用这些网站?
- 你是否使用这些网站与工作之外的同事保持联系?
- 你的雇主是否允许你在午餐时间访问社交媒体网站?
- 你认为社交媒体网站是否提高了员工的士气?
- 一套简单的问题应该不会花费超过一分钟的时间来获取答案。已经实现的目标是找出他们的工作站是否有出站互联网访问权限,以及是否可能设置内容过滤。如果打算在交流期间发送钓鱼邮件,这些信息是有用的。
这个想法是提出一些看似无害的问题,并悄悄插入一个真正需要回答的问题。其中的诀窍是以间接的方式提问,就像第四个问题一样。你还会注意到“在午餐时间”。人们不会承认自己做了一些不应该做的事情,比如在工作时间上 Facebook,但在午餐时间呢?他们可以毫不犹豫地说是,而不会牵扯到自己。
调查在参与中当然是有一席之地的,但需要极大的耐心和坚持才能成功。
冒充员工
冒充其他员工绝对是完成工作的最有效方式之一。这不仅适用于信息收集,还适用于实际攻击。太少的组织在向内部员工提供信息之前进行身份验证的手段或者过程,这是社会工程师利用的。甚至有团队成员打电话给一个组织并编造一个名字。没错,一个不存在的员工通过电话获取信息。这只是强调了一个观点,即如果有足够的胆量拿起电话并听起来合法,很可能会得到积极的结果。
在“你会找谁?”部分有许多冒充员工的好例子,但还有许多可以利用的角度。
帮助台
那么选择冒充帮助台成员并打电话给其他内部员工帮助诊断可能并不存在的问题呢?记住,某个地方总会有人遇到电脑问题,并且他们很可能会大声抱怨。在这种情况下,通话会如何进行?
| 你: | “嗨,我是支持部门的迈克,我们在邮件服务器的日志中看到了错误,表明您在发送邮件时遇到了问题,您还在遇到问题吗?” |
| 对方: | “不,我目前没有任何问题” |
| 你: | “好的,我们可以做一些快速检查,这样我就可以在支持工单中添加一些详细信息。如果以后出现问题,这将帮助我们” |
| 对方: | “当然,你需要我做什么?” |
这通话的其余部分将取决于所需信息的类型。如果只是需要知道内部 IP 地址方案,引导他们启动命令提示符并输入 ipconfig /all 的过程。这将为您提供客户端网络 IP 地址以及通过 DNS 服务器地址获取的服务器网络。DNS 服务器通常也是域控制器,这肯定会有助于缩小现场攻击的焦点。但是,更高级的信息呢?
| 你: | “好的,我们需要再次确认您是否正确连接到域,准备好下一个命令了吗?” |
| 对方: | “尽管问吧” |
| 你: | “好的,输入 net accounts /domain” |
让受害者朗读回复应该提供域的密码策略。这些信息可以用来避免攻击外部系统时的锁定阈值。
试试让他们通过点击恶意超链接来检查他们的互联网访问情况。首选选项是凭证窃取器,以避免任何尴尬的杀毒软件警报。
员工编号
在社会工程中,可信度始终是关键。如果顾问有业务“需要知道”的需求,他们更有可能获得所需的信息。如果目标是让员工透露他们的员工编号,该如何做?需要是企业内部可能需要这些信息的人,那么财务部门怎么样?
| You: | “嗨,莎拉,我是财务部的吉姆,最近怎么样?” |
| Sarah: | “嗨吉姆,谢谢,你有什么事吗?” |
| You: | “莎拉,我们刚刚从负责我们工资的人那里收到了更新的支付信息,我们认为很多信息都是错误的。看起来很多员工编号与我记录的不符” |
| Sarah: | “哦糟糕,听起来不太好” |
| You: | “莎拉,这太糟糕了,看起来至少一半是错误的,包括你的,这可能意味着人们无法正确领取工资” |
| Sarah: | “哦不!” |
| You: | “我们正在尝试纠正每个人的记录,你在名单上,你能读出你的员工编号吗,以便我可以验证我们的记录是否正确?” |
| Sarah: | “当然,是 4454536346346” |
| You: | “看来你的确是正确的,我很高兴我们确认了!月底时不想让人们没有工资!” |
一旦有人认为他们可能拿不到工资,他们就会非常顺从。金钱无疑是最好的激励因素之一。这个故事之所以有效,是因为人们预期财务团队可能需要这些信息。外部组织处理工资也并不罕见。事实上,企业经常因为内部财务团队和外部工资之间的沟通不畅而受到影响。所有这些都增加了这种情景的可信度。现在唯一需要做的就是在电话中足够自在,以便进行一些能打破僵局的闲聊。一如既往,保持简单。情景越复杂,出错的可能性就越大。不要为通话中的任何失误而困扰,合法通话中也会发生,只需恢复并继续。这种情景会让财务团队的成员有点紧张,毕竟,人们可能会生气。
员工编号在许多方面都很有用。首先,它们可以用作公共门户的身份验证机制。其次,它们可以用于验证传入电话。员工编号还可以启动对人力资源的电话,然后用于获取更多情报。
获取关键信息和访问权限
以下是一些获取敏感信息、系统或物理场所访问权限的情景。
凭证和电子邮件访问
大多数组织都有某种公共面向邮件的存在,通常通过 Outlook Web Access(OWA)实现。要通过某种欺骗手段获得访问权限,首先需要确定谁可以提供所需的访问权限。毕竟,给养鱼缸的人打电话没有什么意义。
在这种情况下,有两种可用的途径;要么直接联系用户,要么联系帮助台并让他们重置密码。以下是一些可能的情景。
首先,假设我们不仅收集了大量的电子邮件地址,还枚举了子域并确定了 OWA 或类似的服务。所有这些都可以在侦察阶段中实现,如第八章中所述。
例如,只需用户名和 OWA 的 URL,就可以通过重置密码来获取密码。一个简单的电话,假装慌乱,解释说你正要参加一次重要会议,需要访问重要的电子邮件,再加上对 OWA 的几次认证失败,锁定账户,足以获得一个非常乐于助人的支持技术人员的帮助。然而,他们仍然需要一封电子邮件来验证身份。一个简单的任务!利用所有的研究,提前准备好受害者助手的姓名,对话大致如下:
“那么,如果我让简·罗杰斯给你发电子邮件,你可以重置我的密码吗?她是我的个人助理。” 支持技术人员说可以。
不幸的是,无法访问简的电子邮件账户,欺骗也不是一个选项,而且在时间范围内没有足够的时间来建立一个足够好的假域。唯一剩下的选择是希望目标的邮件客户端不显示实际的电子邮件地址,而是显示发件人的“姓名”。使用一个标准的免费邮件账户,确保“发件人”姓名显示为简·罗杰斯。创建了一封授权电子邮件,附有联系说明和一个手机号码。此外,还添加了在侦察阶段恢复的伪造电子邮件签名。又一次致电帮助台,让技术人员知道应该有一封来自简的邮件等待他,尽管在这一点上已知道这封邮件并没有发送。定期地,进一步的电话被打出,每次都逐渐显得越来越慌乱和恼怒,每次都确保提到简·罗杰斯这个名字。坚持认为简曾说过她已经发送了这封电子邮件好几次。一段时间后,消息被发送。最终,期待已久的电话被接听。支持技术人员通过重置密码的过程引导用户登录账户。
正如先前提到的,对某人施加压力往往会迫使他们做一些他们通常不会做的事情。 “压力和解决方案”技巧在第三章中有更详细的介绍。如果电子邮件立即发送出去,任务可能仍然会成功,但第一种方法往往是最成功和更加稳定的。在整个过程中,当天大约有六次通话与支持人员交谈,到这个时候,工程师已经和支持技术员熟悉起来。导致支持技术人员似乎终于能够帮助解决问题而感到宽慰。
需要注意的是,虽然完成一项工作会带来极大的满足感,但是利用一个辛勤工作的人是不好玩的。因此,始终强调这里的问题不是电话处理方式的问题。问题在于雇主没有提供必要的工具以安全地执行这个角色。改善这种情况应该是任何合作的最终目标。
如果必要的话,这种情景是可以进行调整的。例如,可以声称 Blackberry 手机丢失、被盗或损坏无法修复,并急需访问电子邮件。在这种前提下,也可以原谅不知道如何远程访问电子邮件,因此不知道 OWA 的 URL。在这种攻击向量中,推荐的选项是选择丢失或被盗,而不是损坏。损坏意味着序列号仍然可以从设备上读取。告诉他们设备被盗意味着他们很可能会锁定账户并重置密码以避免被攻击。这也意味着受害者很可能会将他们的设备擦除。在执行此攻击之前考虑到这些都是值得注意的事情。
这些原则也都适用于远程访问 VPN 门户。事实上,在许多情况下,VPN 也可能对域进行身份验证,因此如果您已经重置了一个 VPN,那么您可能可以使用相同的凭据访问一切。如果你是远程工作,VPN 访问可能是最终目标。它将与坐在他们的物理网络上完全相同。在这一点上,测试更多地回归到传统的渗透测试。
物理接入
没有什么比获得对一个受到严密保护的物品的物理接入更好的了。找到允许某人轻而易举地走过安保人员、摄像头和警报的流程漏洞是一种无价的感觉。在许多情况下,这不会是完全没有提前通知就出现,因为很多工作都是先打好基础,然后通过电话进行安排。
物理接入零日
有一种方法已经被证明在许多项目中非常成功。通常,这种方法会在较短的项目中使用,通常持续 1 或 2 天。在这里没有太多的回旋余地,所以典型的方法是进行一天的侦察和一天的现场工作。
我们开玩笑地称这种方法为零日,因为它的成功一直如此。也许它的成功与项目持续的天数直接相关。天数越少,投资就越少,在安全方面,所以也许组织正在尝试了解可能被视为低 hanging fruit 的问题?这种方法肯定攻击了明显的途径。客户可能希望了解更大的问题,解决它们,教育,并进行重新评估。最终,将寻找更不明显的问题,这可能需要更多时间来测试。
这种情景在本书中已经有所涉及。总体思路是冒充员工并安排一个即将到访的通行证。
在侦察阶段,应该已经确定了内部员工的姓名、办公室位置以及休假的员工。所有这些情报在情景中都起作用。打电话到区域办事处冒充总部员工总是一个好主意,正如我们在“你会找谁?”一节中所介绍的。
知道哪位员工离开以及离开多久,使工程师能够在电话中进行冒充,而不必担心被发现。最好在打电话之前找出这个人在哪个办公室和部门工作。
正如前面所述,接下来就是想一个合理的理由去区域办事处并需要访问的简单事情。比如,有人在 IT 部门工作,去现场做一些维护和升级工作?这将为你在那里的理由提供充分的依据,同时也为访问网络提供了合理性。此外,顾问可能会遇到好奇的员工,所以需要做好准备。需要确认现场没有自己的 IT 人员。例如,为什么不试试“我要离开几周,需要找人去那里升级一些交换机”的说辞。然后告诉接待人员你什么时候到达,并让他们准备好通行证。最坏的情况是他们要求进一步的授权,这时你可以要求与他们的主管交谈,并对他们施加更大的压力。我知道我们经常提到会议室,但一旦你拿到通行证,让接待人员为你预订一个房间。这将为你提供一个可以安心工作而不太可能受到挑战的地方。这真的减轻了压力,你可以在相对安宁的环境中继续你的目标。
这可能看起来像是一个极端的机会,但它确实经常奏效。如果有一个更长的参与过程,那么无疑这种方法肯定可以更加先进,但简单也有很多可取之处。
有关适用技术的更多信息已经在第三章提供。
如果有人想要武器化基于电话的攻击并攻击主机呢?
武器化你的电话
我意识到我有可能在谈论渗透测试,但这些电话必须有实际可行的结果。你可能不总是在测试组织的物理安全性,但需要从外部攻击网络中的主机。我相信有很多方法可以做到这一点,但这是其中一种最喜欢的方法。
首先,需要一个来自 Hak5 的无线 Pineapple 和一个具有数据包注入功能的 WiFi 适配器的笔记本电脑。有许多支持此功能的 Atheros 芯片组的无线适配器,比如 Alfa 或 TP-Link 722n。TP-Link 的好处是它们在亚马逊上很容易买到,目前在英国的价格只超过 £8。它们基本上是送出去的!另一个重要的项目是签名批准拒绝服务无线接入点。这本身可能是一个阻碍因素,但这是一个现实的概念,即使是技术上一般的攻击者也能实施。
向量基本上是在第三章讨论的破坏和协助概念。破坏和协助,顾名思义,是指破坏某物,然后以此为借口帮助某人解决问题。甚至可以社会工程第三方来破坏某物,然后打电话声称有能力提供帮助。无论从哪个角度来看,这都是一种有效的技术。
这将避免许多技术细节,因为它们在互联网上已经广泛覆盖了无线方面的事情。
基本上,这是对无线网络执行无线去认证攻击,打乱所有连接到它的人的通信。经过几次循环这个过程后,称为目标,冒充服务台人员。告诉目标说他们部门的每个人都会在随机间隔断开网络连接,并询问他们是否注意到了任何问题。即使目标没有注意到,他们周围的人很可能已经注意到了。如果没有,继续打电话给其他号码,直到找到有人。
此时,受害者被告知已经设置了一个新的无线网络来解决问题,并指导他们连接到它的过程。当然,他们要连接的无线网络是一个恶意的 WiFi Pineapple 或类似的伪装设备。现在,所有的流量都可以被拦截,从客户端到任何目的地。
社会工程工具包中还有功能可用于构建此类攻击。配置一个 SSID,当客户端连接时,所有 DNS 流量都会被拦截,目标将被路由到恶意页面,而不是其自己的内部资源。
设置新的无线网络需要提升的权限,但我们经常看到这种情况被允许,以便笔记本用户可以连接到他们的家庭网络或在外出时在各种地点连接。如果他们无法设置新的无线网络,你可以准备好一个凭证窃取站点作为备用计划。始终要有备用计划!
摘要
本章介绍了电话攻击的各个方面以及它们如何在参与过程中使用。
在整个大部分章节中提供了大量的现实世界示例和脚本,希望能给未来的参与者或自我防御教育提供一些想法和灵感。无论读者身处哪一方,他们现在都应该更好地准备应对这些攻击。
接下来,涉及电话系统、来电显示和环境声音等一些实际问题,这些问题在压力下很容易被忽视,尽管在任何评估过程中它们都至关重要。
最后,研究主动信息收集,这在许多方面类似于电子邮件信息收集,获取关键信息的方式,再次深入一些实际例子,最后以武器化电话呼叫以侵犯内部系统为结尾。
第十一章涵盖了现场社会工程工作和物理安全的所有方面。
第十一章:物理攻击向量
加文·沃森,高级安全工程师,RandomStorm 有限公司
在之前的章节中,攻击的基础已经奠定。现在是真正的乐趣时刻,进入目标,并完成评估。社会工程的物理方面是一个充满高潮和低谷的肾上腺素过山车。本章将帮助充分利用有限的现场时间,并希望不被抓住。
关键词
垃圾桶潜水;偷窥肩部;流氓接入点;道具和伪装;徽章和吊带;尾随进入
本章内容
• 在电子邮件和电话攻击的基础上
• 主动信息收集
• 垃圾桶潜水
• 偷窥肩部
• 摄影
• 接待区
• 公共访问区域
• 流氓接入点
• 道具和伪装
• 徽章和吊带
• 尾随进入
• 撬锁
• 一旦你进入内部
介绍
上一章提供了一些关于如何执行基于电话的社会工程方案的实用建议。讨论了现实世界的例子,展示了它们在许多现代攻击中的持续有效性。
以电话呼叫开始的攻击通常会导致对目标建筑的完全损害,而不仅仅是敏感信息的泄露。前一章介绍了作者用来实现这一目标的一些技术。然而,物理上攻击建筑的安全并不止于此,还需要考虑许多其他因素。
本章的目的是提供关于物理攻击作为社会工程评估的一部分的一些建议。将涵盖诸如通过分析接待区进行主动信息收集技术等主题。
将讨论各种行业工具,包括道具和伪装,假徽章和吊带,RFID 和磁条克隆器,撬锁。
在电子邮件和电话攻击的基础上
第四章 讨论了如何有效地利用时间来串联攻击向量,从而在评估中使用;一个攻击中披露的信息然后可以用来帮助下一个。在许多评估中,这将是自然的进展,对建筑物进行物理攻击将是基于已经完成的所有先前攻击的最后情景。
一旦电话和电子邮件攻击完成,就会有大量信息可供使用。侦察应该已经揭示了所有员工,他们的职位和联系方式,以及有关公司本身的所有信息。已经看到一通电话可以安排通行证或会议室,这可以在不进入现场的情况下完成。然而,尽管这种攻击非常有效,但在安全级别高于平均水平的企业中可能效果不佳。如果客户拥有成熟和经过测试的安全控制,则重点可能需要放在建筑物本身的属性上。因此,电话和电子邮件攻击将需要收集在突破建筑物安全方面和在实现这一目标后可以预期到的信息。
很明显,应该收集尽可能多的信息,但如果计划攻击建筑物,则应该回答一些基本问题。这些都是基本的安全问题,在这个列表中,它们从外向内工作。
• 是否有其他可以冒充的分支机构?
• 附近是否有其他企业?
• 周边地区是否由围栏保护,还是可以直接走到主门口?
• 是否有带栏杆的安全停车场?
• 是否有安保人员?
• 大楼外有安保办公室吗?
• 主要接待处是否有安保措施?
• 任何时候是否有多名接待员值班?
• 公司是否在建筑内实施 RFID 或磁条控制?
• 目标区域在哪一层?
• 有哪些第三方企业与目标公司合作?
大多数信息可以通过现场访问快速获取,但如果可以远程获取,则风险较小。此外,以上每个都是一个单独的社会工程场景,识别了该企业的信息披露漏洞。
为了展示像上面这样的信息有多容易获取,考虑一下作者们在实地评估前两天打给目标企业安保办公室的电话:
| 目标 | “你好,xyzsecurity 怎么帮您?” |
| 你 | “你好,我是来自切斯特分公司的史蒂夫。我要去开会,但我刚刚被告知我的通行证在你们大楼里不能用,是这样吗?我记得上次我在那里时它还是有效的。” |
| 目标 | “不,它进不了接待处,但他们会让你进去,而且你不需要通行证在内部移动。” |
| 你 | “停车场的栏杆呢?” |
| 目标 | “一样的,他们会让你通过。” |
| 你 | “太好了,谢谢。” |
这些信息不会立即导致建筑物被入侵,但它们非常有用。我们打电话给安保办公室的事实显然告诉我们他们有保安人员,即使只是用来监视摄像头。还发现,要想在不与他们交谈的情况下进入接待处,需要一个通行证。有一个停车场,它用障碍物保护着。最后,不需要通行证就能在内部移动的事实至关重要;如果可以获得通行权,这意味着可以自由移动,从一个部门到另一个部门,从一层到另一层,甚至无需搭车。这意味着潜在的攻击者可以在入口处之一搭车,然后自由地在内部移动。如果情况是这样的话,那么在评估过程中应该尝试一次搭车情景。
在收集这些信息时,也很重要关注员工。正如第八章所述,侦察和攻击也可能揭示关键信息,例如员工徽章的设计以及他们通常穿什么颜色的挂绳。
主动信息收集
尽管有可能远程和安全地收集关于建筑物安全的大量信息,但实际访问现场将提供最大的见解。可能有一些物理安全控制和建筑属性是通过远程手段根本无法发现的。例如,一旦到达现场,就可能发现他们整个夏天都让后门敞开。要远程识别这种物理漏洞至少是具有挑战性的。然而,这不仅仅是指明显的物理漏洞,如敞开的门,还有大量关键信息可以通过实际访问现场来收集,例如目标企业、员工和物理安全控制。如上所述,当测试高安全性客户时,可能绝对需要包括一项物理侦察阶段,以填补远程侦察未能获得的遗漏信息。
垃圾搜查
垃圾搜查已经在本书中多次简要提到过,这一点并不令人惊讶,因为它是一种真正经典的技术。严格来说,翻找某人的垃圾堆并不是心理操纵的巅峰,但重要的是信息的使用方式。它合法吗?这取决于意图,取垃圾的地点是住宅还是商业场所,以及行为所在的国家。是否将垃圾视为盗窃是有争议的,但如果垃圾存放在公司财产上,那么如果试图未经允许获取垃圾,肯定会有擅自进入的一面。然而,在社会工程学评估方面,应该已经获得了执行此类情景的许可。
需要考虑的第一个挑战是如何真正接触到垃圾。如果已决定将其纳入评估中,也许是根据客户的要求,则需要回答以下基本问题:
• 垃圾是否放置在安全的位置?
• 平均有多少垃圾?
• 垃圾是否分为不同的类别?
• 业务是否与其他业务共用垃圾箱?
• 垃圾箱本身是否锁定或以任何方式受到保护?
• 你能否在不被察觉的情况下取出垃圾?
• 通常是谁收集垃圾,何时收集?
可以启动一系列电子邮件或电话攻击来回答这些问题。例如,打电话作为卫生与安全检查员、垃圾收集公司或任何其他以某种方式与之互动的第三方。可能有一个专门的公司负责安全且安全地处理媒体或文件。
如果其中一些问题可以得到答复,那么您可能只需走过去收集垃圾即可。例如,可能会发现业务后面有一些没有任何安全控制的垃圾箱。在夜间到达并秘密地带走袋子以进行检查可能是一项简单的任务。请记住,带走袋子要比在现场花费时间仔细查看要少得多,风险也更小。
请记住,这里处理的是垃圾,除非确切知道每个袋子里装了什么,否则要做最坏的准备。戴上重型安全手套、护目镜和适当的服装。不要跳进垃圾箱,只需干净地拿出袋子并将其运送到适当的区域以检查其内容。
如果垃圾区域受到保护,那么可能需要设计一个适当的借口来获得访问权限。这就是对通常获得访问权限的人进行侦察变得有用的地方。一个基本的情景可能是联系保安并冒充员工。顾问警告保安,xyzgarbage 公司的检查员将前来现场进行基本检查。然后,以 xyzgarbage 检查员的身份到达后,唯一的挑战将是说服保安需要被单独留下,“我有很多事情要做,我在出门时再来找你可以吗?”。或者工程师可以冒充员工,并向保安解释一份重要文件被意外丢弃了,是否可以提供进入该区域以检查垃圾箱?
寻找什么?许多书籍和文章会长篇大论地讨论寻找 USB 驱动器、硬盘、包含密码的纸片、网络图、列有员工名单的文件等。这些是显而易见的东西,实际上不应该需要一本书来说明这些信息有多么有用。如果有一个关于搜垃圾的实用建议,那么作者可以给出的建议就是考虑任何一条尚未知晓的具体业务信息是否有用。是的,找到贴有密码的便笺会很棒,但不要忽视其他潜在的关键信息。例如,如果发现了一个被扔掉的电子邮件对话的打印件。该对话的知识是否可以被用来获得信誉?是否有员工扔掉了一些包裹包装和通常包含在内的收据?因为这将包含物品和交付的细节,这使得冒充成提供物品的企业或投递物品的交付公司成为可能。
重要的是,这是一个处理所有垃圾并仔细思考所发现内容的情况。这是已经拥有的信息的重复吗?如果不是,有没有办法利用它?结果可能会非常有趣!
肩部窃听
肩部窃听是另一种经常被描述为社会工程学的信息收集技术。然而,与搜垃圾一样,重要的不是技术本身,而是如何使用所收集的信息。在最基本的意义上,肩部窃听是偷看别人在做什么的一种行为;输入、写作等。例如,一名员工可能会在同事输入密码时偷偷看他们的键盘,或者在撰写电子邮件时查看显示器。
可以争论说采用这种技术没有什么好处,因为已经实现了对目标建筑物的访问。虽然已经突破了安全,知道员工的密码可能会有些用处,但更容易的方法是插入设备并远程攻击网络。这是正确的,但员工并不是“总是”在目标建筑物内。例如,尽管是一种长期的技术,但攻击者可以在当地咖啡馆通过窥视员工使用笔记本电脑。如果密码可以看到,那么就可以用来访问企业电子邮件。然后可以用此来发起钓鱼邮件攻击。
寻找密码是显而易见的,但请记住,社会工程师可以潜在地使用任何信息来攻击企业。再次考虑咖啡馆的例子,攻击者还能看到什么?他们将能够看到操作系统版本、Web 浏览器、他们正在使用的软件以及笔记本电脑的制造和型号。这些都是非常有用的信息,可以在发动钓鱼攻击时帮助攻击者。了解所使用的软件可以缩小可能成功的攻击范围。
摄影
当针对一个实体建筑时,拍照的想法似乎是个明智的选择。在电影和电视节目中,有许多例子是专业团队秘密拍摄目标建筑和相关员工。在当今社会工程学中,这是必要的吗?相当可预测的答案是取决于具体情况。一般来说,拍摄建筑物通常是不必要的,因为快速访问 GoogleMaps 街景将提供足够清晰的建筑外部照片。如果无法获取在线照片,那么花时间拍照就只有在报告中包含相关内容时才真正必要。事实上,客户知道他们的建筑长什么样,他们每天都去那里。因此,包括一些建筑外部的照片对他们来说不会太有用。然而,如果由于安全控制而难以靠近拍照,那么这样做就会暴露出某些漏洞。从这个意义上讲,拍摄照片的行为变得重要起来。另一个应该包括建筑物照片的情况是如果它们指出了特定的漏洞。例如,作者进行的某项特定评估揭示了一个用廉价的插销锁定的外部门。门上方有三台安装在杆上的安全摄像头,没有一台摄像头覆盖门或通向门的路径。这是一个明显的问题,因此包括了照片。
一旦进入建筑物,照片通常用于“证明”已经访问到了目标。因此,可能会拍摄限制区域或在评估范围内定义的特定对象的照片。然而,这种使用摄影来证明目标已经实现,而不是为了主动信息收集的目的。
- 如果目标地点是非常高安全性的,并且有可能被摄像机拍到,那么摄影可以用于绘制特定的安全控制。一旦确定了摄像机的位置、方向、品牌和型号,理论上就可以制定避开它们的方案。然而,只有在计划进行“砸砸抢”方式的行动时才有必要这样做,即所有活动都需要保密。请记住,这种类型的情景很危险,只能确定少数几个漏洞,可能不能与客户的实际风险相匹配,并且应该总是最后尝试。
- 在现场使用摄影的最佳方式之一是拍摄员工的照片,他们穿着什么,佩戴什么颜色的挂绳和访客通行证。使用手机相当容易,只需记得将其调至静音,因为拍照的声音可能会迅速暴露任何行动!正如本书中多次提到的那样,吸烟区是与员工进行交流而又不易引起怀疑的好地方。由于员工们在这些区域往往被聚集在一起,拍照是相当直接的。
- - 接待区
- 接待员往往在社会工程评估中受到很多关注,原因已在本书中讨论过。如果一个接待员被妥协,那么入侵企业的安全将变得非常容易。然而,这个概念应该延伸到接待区本身。一般来说,这是门卫室,任何员工、承包商或访客在通过之前都会被筛查和希望得到认证。因此,如果在接待区本身找到了基本的漏洞,它们就可以在攻击场景中得到很好的利用。
- 曾经有案例显示,作者在目标接待处发现了自己社交媒体页面上的照片。然而,侦察可能不会透露这些信息,而获得这些信息的唯一方式就是亲自在接待处。这是否意味着这些信息只能在执行实际情景时才能获取和使用?不,有很多理由可能会有人出现在接待处。例如,迷路并简单地问路,或者甚至可能误入了错误的企业,尽管要小心不要在实际攻击中使用同一顾问,因为接待员可能会认出他们。
- 只需几秒钟时间四处看看,并注意重要的安全特征即可。考虑记录以下内容:
- 接待区是否足够大且繁忙,以至于你可以不被注意?
- 有多少接待员?
- 是否有保安?
- 是否有签到簿?
- 接待员会向访客发放什么?
- 接待区朝向什么方向?你可以不被注意地进入吗,还是接待员会立即问候你?
• 内部建筑有多少个门?它们有什么访问控制?
• 如果有其他门,它们会开多久?
• 有楼梯门吗?
• 有电梯吗?如果有,它有访问控制吗?
• 有等候区吗?
• 有公共接入终端吗?
• 有没有可见的网络接入点?
• 有什么身份验证控制?单人旋转门,生物识别或人体陷阱系统?
• 摄像头在哪里?它们覆盖了访问控制还是只是接待处?
这听起来都是非常明显的事情,但是令人惊讶的是,企业经常会犯简单的错误。作者曾经看到过旁边是 RFID 安全门的接待处,但电梯根本不需要任何身份验证。曾经看到过可以在接待员桌后进入并朝楼梯走的个人而不被看到的接待处。曾经看到过具有实时网络接入点的接待区/等候区。由于公共接入终端可以完全看到企业网络,安全漏洞变得可能。
永远不要低估接待区可能存在的漏洞,因为它们可能被利用来突破网络的安全,甚至是建筑物本身的安全。
公共接入区域
对于社会工程师来说,公共接入区就像一个接待处,但几乎没有被质疑的风险。企业提供了一个可以被任何人利用的服务区域。一个很好的例子是医院;在大多数情况下,人们可以自由进入并坐在食堂或各种等候区,而不会受到质疑。这些区域对企业来说是一个非常严重的安全情况。在理想的情况下,该区域将完全锁定,不与实际企业网络连接,并且没有可用于攻击的服务或信息。然而,事实很少如此,公共接入区域往往是攻击者等待利用的主要弱点。
就侦察而言,公共接入区域是攻击者可能了解建筑布局的机会。他们理论上可以留在这个安全区域,并观察所有通往受限区域的入口,看接待员何时换班,或者看安全人员何时离开。
如前一节所述,公共访问区域通常有公共访问终端和网络点。希望网络点已经被禁用或者在物理上无法访问;如果有机会的话,攻击者肯定会检查。至于公共访问终端,即使它们没有连接到企业网络,它们是否有任何重复使用的密码?也许企业网络上的一个高特权用户在该终端上重复使用本地管理员密码。终端本身如何安全?作者曾见过终端被放在一个配有廉价易于撬开的片状锁的小柜子里,“安全”起来的情况。
攻击者可以轻易地撬开锁并随意篡改设备。如果它们有公共访问终端,请仔细考虑它们存储的信息和它们使用的连接。
流氓接入点
下一章将讨论可以用作现场社会工程评估一部分的各种设备。这些主要是可以用于建立出站连接(后门)的设备。流氓接入点是实现这一目标的一种方式。如果攻击者能够插入一个“流氓”无线接入点,他们可以从安全距离(如停车场)或者甚至更远的地方使用专业设备攻击网络。然而,值得一提的是,在本章中提到流氓接入点的能力以远程收集信息。
攻击者可以不必进入建筑物并安装一个流氓接入点,而是可以在建筑物外面设置一个。如果员工连接到这个无线网络,他们的流量可能会被拦截并解析出有用的信息,包括密码。攻击者会设置一个广播 SSID 的开放式无线网络,例如“OpenWifi”或“免费上网”。如果他们想要针对 IT 部门的员工,他们可以启用 WEP 加密,希望更专业的员工会尝试黑入并使用这些服务。
这种类型的攻击对于那些没有无线网络的企业来说是最有效的,不管是出于安全原因还是一般的实用性。在这样的企业中,员工通常会感激能够连接他们的智能手机或笔记本电脑到无线网络上以供自己使用。因此,一个免费的无线网络会相当诱人。
有机会攻击连接到接入点的员工的计算机。这是一种有效的技术,如果成功的话,它可以提供对企业网络的立足点。例如,通过妥协员工的计算机,可以安装一个在计算机连接到企业网络时回调的后门程序。然而,这样的攻击场景开始偏离社会工程的重点。
这种技术可以被社会工程师用来收集用户名和密码。如果攻击者获得了诸如员工的电子邮件帐户之类的服务的访问权限,那么他们可以发起非常有效的网络钓鱼邮件,并且可以了解潜在目标的大量信息。员工访问的网站可能是非常有用的信息,可以用来针对他们。员工重新使用密码在企业服务上的可能性也存在严重的安全问题。
这样的技术能在社会工程评估中使用吗?一般来说,这是一个灰色地带,取决于评估是在公共部门还是私人部门进行,以及在哪个国家进行。这里的主要问题是攻击很可能会收集员工的个人信息(如个人账户密码),并可能违反《1998 年人权法》等法律法规。访问员工的企业电子邮件帐户与访问他们的个人电子邮件帐户是完全不同的事情。
道具和伪装
道具和伪装经常出现在夸张的间谍电影和电视节目中。在现实世界中,戴着假胡须和厚厚的眼镜愚弄保安是荒谬的想法。然而,无论这个想法多么荒谬,每个专业社会工程师的工具包中都应该有一些特定的物品。
如果意图是在现场冒充一个角色,那么你显然需要看起来像是那个角色。正如前几章所讨论的,冒充是指看起来、听起来和行为举止都与被冒充的角色完全一致。因此,任何社会工程工具包都应该包含适合各种不同角色的服装和物品。这包括从正装到工作服、夹克、文件夹、公文包、工具箱等一切。花点时间为虚构公司和实际存在的公司创建一系列制服,当然不包括紧急服务!此外,考虑一下细节,花钱绣上标志而不只是印刷上去,如果合适的话,包括匹配的棒球帽,甚至定制的挂绳上印有公司名称。
道具可以在获得信誉方面起到很大的作用,但请记住,它们必须被视为支持性物品,而不是攻击的基础。不要根据向保安挥舞文件夹使访问看起来官方的情节。这些物品是为了使冒充更具说服力,以及为了获得更好的信誉,以便能够执行主要情节并增加成功的机会。例如,如果要携带一个文件夹,请考虑打印一封带有目标企业标志的假信件。任何看到标志的旁观者可能会立即给予信任,甚至可能根本不多考虑。
一个非常常见且老套的组合是工人的高能见度背心和安全帽。这种打扮的人大多数人都不会想去质疑。一个社会工程师可以和同事一起在目标地点四处走动,指着屋顶,在剪贴板上写字。任何旁观者都会假设他们正在进行某种检查,并且不会再多想。这种技术现在已经相当过时,大多数意识培训项目可能会涵盖它。如果计划使用这种身份冒充,那么要仔细考虑细节。一个常见的错误是购买全新的高能见度背心和安全帽,这在某种程度上显得不太正常。有多少工人穿着全新的服装?当作者们最初建立社会工程服装时,他们用旧的背心和帽子换掉了全新的。不幸的是,使用过的物品散发着柴油味,但至少它们看起来是真实的,因为它们是真实的。如果没有别的办法,这种服装组合可以在垃圾箱翻找时使用,因为任何有合法理由与垃圾互动的人都会穿着类似甚至相同的服装。
徽章和挂绳
在本章中,我们已经提到了徽章和挂绳,但是由于它们在物理社会工程活动中占据了如此重要的位置,它们值得拥有自己的章节。
员工徽章通常具有多种功能,如身份识别、身份验证和授权。徽章通常会显示个人姓名、职位、部门、照片、企业名称、企业标志和其他杂项信息。徽章本身还可能配备有射频识别(RFID)或磁条,并使员工能够验证自己以通过某些物理安全控制。在安全环境中,员工被告知确保他们的徽章随时可见。承包商和访客可能会被赋予不同类型的徽章,可能具有非常不同的格式,或者他们的徽章可能只是从签到簿中撕下来的纸质临时徽章。
正如前文所述,秘密拍摄当前使用的徽章并不困难。由于安全最佳实践鼓励员工将其保持可见,这项任务变得更加容易。经常发现的情况是,员工在上班路上、外出午餐或回家途中仍然将徽章佩戴在外衣上。因此,社会工程师有机会制作一个假徽章以获得可信度,并使冒充更具说服力。所需的只是一个基本的照片编辑软件包,就可以创建一个非常逼真的复印件。请记住,员工徽章通常只是一个徽标(可以在线获取)、一张照片(可以本地复制)和几行文本。如果计划执行涉及冒充其他分支机构员工的情景,那么假通行证可能就是证明身份的全部所需。
显然,假通行证无法提供 RFID 或磁条的身份验证益处,因此在情景中需要考虑到这一点。如果将通行证举到读卡器前却没有任何反应,试着对后面的人耸耸肩,说这又出问题了。他们会挑战这种说法吗?可能不会,特别是如果通行证看起来很可信,而且你对情况感到很生气的话。
有一些设备可以克隆磁条或重放 RFID 令牌的信号。然而,使用这些设备超出了本书的范围。此外,要仔细考虑试图证明的内容以及如何实现。如果已知客户的特定 RFID 实现使用可以重播甚至克隆的通行证,那么可能只需要通知客户。然后他们可以权衡风险与更换身份验证系统的成本,而无需进行复杂的社会工程情景。
人们倾向于读到上文后决定让所有员工将徽章反戴,只显示一个没有特征的卡片支架。作者们在实践中看到过这种情况,当然这是愚蠢的,因为社会工程师甚至不需要制作假徽章,他们只需反戴一个空的卡片支架。最好的防御方法是根据员工的职位或部门设置不同格式的徽章和不同颜色的挂绳。这意味着社会工程师必须弄清楚什么颜色或格式与哪个部门相匹配,否则就会有风险暴露身份。
尾随
尾随是一种有趣的技术,现实世界的攻击者和专业安全顾问经常使用。其基本前提是利用员工在身份验证到诸如 RFID 这样的物理安全控制时的访问权限。大多数人都受到社会习俗的约束,为了礼貌和谦逊而紧跟在他们身后开门。如果门不被保持开着,后面的人可能会感到被冒犯。如果简单地不保持门开着就会引起冒犯,那么质疑该人员证明其身份会有什么作用呢?
可以通过各种方式增强这种效果,比如假装在电话上争吵,携带一个看似沉重的物品,甚至带着拐杖出现。任何可以使个人不太可能想要质疑的事情都是有益的。
企业“可能”有办法防御尾随,但并不容易。作者曾与客户合作,如果员工在另一个人等待通过时不闭上门,就会威胁对其采取纪律行动,最终导致一排人轮流开关门。这种方法似乎是有效的,但只能针对短期攻击场景。员工们都完全了解这个程序,但新的第三方承包商和访客不会。如果攻击者能够找出这样一个承包商或访客何时到达,他们就可以在其后进行尾随。此外,社会工程师可以作为一个带有同伴尾随的访客出现。
还有其他更昂贵的解决方案,比如单人旋转门或最终的人体验证系统。这些物理安全控制专门设计用于防止尾随。例如,使用人体验证系统,个人必须被验证一次才能进入一个通常只能容纳一个人的小空间。然后他们会被“困”在隔间内,直到第二次验证为止。一些系统实际上会为个人的验证细节分配一个重量,以确保他们不是在系统中携带着别人。尽管这些系统可以防止尾随,但它们并不是没有漏洞的。例如,作者曾见过一些允许同一张卡多次进入系统的人体验证系统,而不必先离开。这意味着有效的通行证可以被用来让多个人通过。
另一个可能的解决方案是为每个出入口指定安保人员。然而,这是一个昂贵的选择,而且可能会被简单的分散注意力技巧所规避。
尾随进入已经在本书中多次提到作为一种在评估结束时使用的技术。之所以这样做是因为尾随进入可能非常危险,特别是如果没有令人信服的证件或一个好的掩饰故事。无论员工付出多少努力来阻止挑战,这种情况仍然很容易发生。因此,通过在测试开始时执行基于尾随进入的场景,您可能会危及整个评估。尾随进入是一种重要的技术,但应该最后尝试。
作者知道安全公司会以尾随进入为基础进行整个评估。例如,客户会说每年一群顾问会在建筑物周围走动并尝试进入。这对客户来说有“一定”价值,但正如本书多次强调的那样,这应该只是与客户实际风险相一致的众多技术之一。因此,除非客户的主要风险来自公众成员尾随进入建筑物并从中偷窃,否则这种技术应该是评估的一个补充而不是基础。
尾随进入在一段时间内肯定是一种强大的技术,企业将很难阻止。然而,作为一名评估员,要仔细考虑尝试的漏洞是什么,以及尾随进入如何融入整体方法。
开锁技术
最初,开锁技术并不打算包含在本书中,因为这个主题已经被 Deviant Ollam 等作者在《实用开锁技术》和《王国之钥》等书中进行了全面而优雅的探讨。毫无疑问,如果计划是闯入建筑物或建筑物内的办公室,那么开锁技术这样的技能确实非常有用。然而,与其试图将大量材料压缩成几页,不如决定提供一种在社会工程场景中使用开锁技术的实用性观点。
首要的是,撬锁“可能”会损坏锁。在绝大多数情况下,损坏不会影响锁的使用,但总有可能。因此,重要的是在与客户的约定中包含这一点。他们需要意识到这种风险,无论多么小,然后决定是否可以使用这种技术。这一点在与一个特定客户合作时变得非常明显,该客户从一开始就规定绝对不得尝试撬锁。当询问原因时,客户表示之前的顾问在未告知他们的情况下使用了这些技术。那些顾问没有意识到,如果任何一个锁被损坏并需要更换,那么每一个其他的锁也都需要更换。在这种特定情况下,这样做的成本是巨大的。因此,避免尝试任何撬锁,但作为评估的一部分,建议在某些区域增加额外的安全控制,因为真正的攻击者不会在意锁是否被损坏。
在考虑使用撬锁进入建筑物,如外部门时,一定要非常谨慎!重要的是要考虑那扇门的另一侧是否已知。想象成功撬开锁并进入一个挤满人的办公室,所有人都转过身来看。一个明显的解决方案是在夜间进行撬锁,尽管以这种方式进行的评估也有自己的一套风险。例如,是否可以向警察递交一封“免于入狱”的信而不是给员工?此外,真正的攻击者可能只是打破窗户或强行打开门,这通常超出了大多数评估的范围。
撬锁最好的用途当然是在建筑物内部。大多数文件柜、橱柜和抽屉都使用廉价的片式锁,大多数情况下,这些锁可以在几秒钟内轻松绕过。请记住,他们的目标可能是证明对敏感文件的访问权限,因此获得对文件柜的访问权限可能是必不可少的。当然,可以设计情景使员工自愿打开文件柜或检索文件,撬锁只是其中一种可用选项。
内部办公室的门通常采用插销锁,虽然比片式锁更难撬开,但通常并不会带来太大挑战。
面临的最大挑战是不知道撬锁需要多长时间。可能只需几秒钟,几分钟,甚至更长时间。此外,当有人蹲下弄锁时,如果有人看到,很快就会引起怀疑。因此,只有在有足够的信心不被发现的情况下才尝试撬锁。有时,如果被抓个措手不及,解释自己是锁匠,客户丢失了钥匙可能就足够了,有幸的话。
一旦你进入
有时,目标可能仅仅是进入建筑物或特定受限区域。在这些情况下,大多数情景将集中在实现这一目标的各种方式上。然而,还有许多情况下,进入建筑物只是评估的开始。客户可能希望探索其他领域,比如员工对现场攻击者的社会工程学有多容易上当,或者写在纸片上的密码是否真的构成重大风险。这就需要将多个情景串联起来,并从一个情景无缝执行到另一个情景。总是有可能改变策略或创建新的情景,如果看到机会,但要注意遵守客户的目标和实际风险。
作者的目标是进入目标建筑物并登录员工的工作站,要么是通过获取他们的密码,要么是让他们登录。我们成功进入了建筑物,然后在部门之间移动,尝试一系列非常简单的情景。我们接近一名员工,解释说我们正在与 IT 部门合作,试图解决他们遇到的一些问题。除非被进一步询问,我们会保持相当模糊。我们询问是否有任何工作站或热座位可用。一旦坐下并尝试登录,我们会再次接近同一名员工,解释说 IT 提供的凭据不起作用,他们能否为我们登录?结合礼貌的态度并加入诸如“真的很抱歉再次打扰您…”之类的短语,员工们乐意帮忙。在这一点上,如果我们是真正的攻击者,我们将可以自由攻击网络或安装后门。当我们从部门到部门移动时,我们会尝试设计不同的情景,以识别不同的漏洞集。
进入建筑物后,这本身就提供了一定程度的可信度。就像“认证链”起作用一样,员工们会假设前台已经对访客进行了筛查。
可以说,进入建筑物的情景和针对现场员工的情景可以分开。然而,评估通常在短至两到三天的时间内进行,这可能需要包括侦察和远程攻击。因此,除非客户有足够的预算来展开攻击,否则可能别无选择,只能一起执行所有现场攻击。
进入建筑物后,如果需要,最好找一个“安全避难所”,进行估计,并为下一个情景做准备。这可以是一个空的会议室,一个食堂,或者如果情况足够严重,还可以使用洗手间。例如,假扮成电气工程师进入建筑物,然后前往洗手间换上一套正装。下一个情景可能是基于内部审计,或者是作为企业的新员工。一个相对安全的区域,如会议室,可以用来准备,甚至是攻击网络,只要网络节点是活动的。如果有人进入房间,只需道歉解释你以为那时是空闲的。食堂总是一个准备方案的好地方,因为这些区域经常会有来自员工、访客和承包商的流量,所以你不太可能受到挑战。
摘要
物理攻击矢量通常是整体社会工程评估的重要组成部分。通常,远程电子邮件和电话攻击会揭示用作物理攻击基础的信息。将所有攻击矢量串联起来是有效利用时间的好方法,并增加了在物理攻击期间取得成功的机会。
本章介绍了攻击者使用的最常见的“主动信息收集”技术。这些技术有时甚至可以在没有任何先前的侦察的情况下导致安全妥协。
对一家公司执行物理攻击显然需要顾问们亲自到场。因此,任何试图冒充的尝试都变得更加复杂,可能需要视觉道具、伪装和证件。为了执行有效的评估,应该获取一整套服装、道具、挂绳、徽章和证件。
下一章将继续讨论物理攻击矢量的主题,涵盖可以用于支持情景的各种设备。
第十二章:用技术支持攻击
Richard Ackroyd,高级安全工程师,RandomStorm 有限公司
每个人都喜欢小工具,但除了是有趣的玩具外,它们还可以被利用以为社会工程攻击提供另一个维度。老套路是把无线接入点放入企业网络中并离开,但这实际吗?还有更好的工具吗?本章将涵盖 3G dropbox、无线工具和 3G KVM 开关。我们将步骤性地介绍如何在目标网络中构建支持完整虚拟专用网络(VPN)的 3G 启用 dropbox。
关键词
RaspberryPi;3G;dropbox;Raspbian;OpenVPN;反向 SSH
本章信息
连接到网络
电缆和实时端口测试仪
上网本
我在哪个子网?
端口安全
远程连接到网络
Dropbox
Dropbox 挑战
Pwnie Express
RaspberryPi
Intel NUC
亦属次等
构建您自己的‘Dropbox’
安装操作系统
回家打电话
设置基于证书的身份验证
创建 SSH 反向隧道
让它固定
添加 3G/4G 支持
选择一个 Dongle
屏幕,无线和其他硬件
Adafruit Pi Plate
无线 Dongle
为您的 Dropbox 选择一个外壳
将 OpenVPN 添加到我们的后门
路由问题及其克服方法
替代 Dropbox
3G 和 IP KVM
路由器
无线接入点
妥协内部系统
其他有用的小工具
按键记录器
音频录音设备
Teensy USB
恶意 USB 驱动器
WiFi Pineapple
介绍
在第十一章中,我们介绍了物理攻击向量,这通常占据社会工程评估的大部分内容。
本章重点介绍了各种小工具。我们将涵盖可用于增强我们评估的不同类型技术。
我们将研究连接到目标组织网络的过程以及可能阻碍此过程的常见障碍。我们还将研究一些设备,这些设备可以让我们能够从远程位置执行剩余的工作,有时被称为“dropboxes”。
在尝试评估的物理访问部分时,始终携带有用设备是很有用的,因此我们也将涵盖这些设备。
我们将通过查看 WiFi Pineapple 来结束本章,以帮助在参与过程中进行无线攻击。
远程连接到网络
如果定期进行社会工程评估,就会需要外泄数据。毕竟,这是对实际攻击的模拟。这可以是文件柜突袭,公司财产的移除,或者连接到网络并通过黑客方式达到目标。在本节中,将涵盖一些可能遇到的障碍和潜在的解决方法,以及在此任务中可能有用的一些技术。
电缆和实时端口测试仪
典型的电缆测试仪需要访问物理网络电缆的两端,因此在这种情况下几乎没有用处。如果顾问走进一个充满补丁端口的房间,他们如何快速确定哪些端口是活动的,以便能够节省一些测试时间?虽然有一种设备可以做到这一点,但大多数选择价格过高。
第一个选项是 Smartronix LinkCheck — www.smartronixstore.com/index.cfm?fuseaction=product.display&Product_ID=18。
这是一个小型设备,可以确定链接的可用性以及连接的速度。它们的零售价约为 60 美元,可能是执行基本网络连接检查的最具成本效益的方式。
Smartronix 还制造了一款更昂贵的设备,Linkup,可以将数据放入线路进行更全面的测试。
下一个选择是查看 Fluke Networks 制造的设备,但这些设备通常会花费数千英镑。它们是非常酷的设备,如果与大型企业网络一起使用,非常有用,但在渗透测试或社会工程业务中很难证明其必要性。这些设备将执行从物理连接测试到动态主机配置协议(DHCP)测试的所有操作。它们还能够进行数据包捕获。这些设备配备有全彩触摸屏,用于分析和报告目的。
使用 Raspberry Pi 和 LCD 屏幕显示网络状态和 IP 地址详情如何?Raspberry Pi 的使用在本章的 Dropbox 部分中有所涉及,还涉及到 Adafruit LCD Plate,它将显示 IP 地址。
最现实的选择是使用网络本,它可以兼作渗透测试黑客本。
网络本
网络本是价格低廉的笔记本电脑,既小巧又相当强大。可以用不到 250 美元的价格购买到具有双核 CPU 和足够运行 Kali 或类似 Linux 发行版的 RAM 的网络本。例如,对一个热门的在线购物零售商进行了一个粗略的搜索,包括较低端的选项是一款全新的 WolVol BLACK 10 英寸带 WiFi 和摄像头的笔记本电脑(Android 4.2,双核处理器,8 GB 硬盘)仅售 149.94 美元。延长电池可以提供 6-8 小时的使用时间,使它们成为任何社会工程师的绝佳伴侣。
然而,作者手头有几台更高规格的 Asus EEE-PCs,各种形状和尺寸不一,用于这类工作。
由于它们的尺寸,它们很容易藏在人身上,无论是在大口袋还是公文包里。它们也很容易隐藏在公司环境中,并用作 Dropbox。
就成本和效益而言,它们应该被视为工具包中的基本物品。
社会工程渗透测试教程(三)(3)https://developer.aliyun.com/article/1508400
