qileilove

企業安全實戰 社交工程滲透測試4個技巧

社交工程已經成為目前最盛行的攻擊方式之一，而且在一些較大的數據泄漏案例中也總是出現。例如，2011年RSA breach就遭遇了定向釣魚和加載了漏洞的Excel文件。因此，對于有能力模擬真實攻擊的企業而言，社工滲透測試應該成為每個滲透測試工具包的強制性策略。

　　社工行為非常依賴心理學，有很多非常可疑的誘餌，可以讓社工人員勸服人們從事某項操作。例如，Robert Cialdini在其著作《影響力：說服心理學》（Influence： The Psychology of Persuasion）中描述了六種刺激人們行為的動機：

　　1、互惠：因為某人幫助了你而感到歉疚；

　　2、社交認同：向其他人學習如何進行行為操作；

　　3、承諾/一致性：發展行為模式并使之成為習慣；

　　4、喜好：人更容易被有好感的人說服；

　　5、權威：對權威人物所提要求的默許；

　　6、短缺：當某個東西的供應受限或僅供專用時，對這個東西的需求就會增加。

　　滲透測試員在執行社工評估的時候可以利用這些刺激因素。有四種社工技巧可供滲透測試員測試企業的信息安全，分別是釣魚、假托、介質投放和追尾。

　　社工滲透安全測試：釣魚攻擊

　　釣魚是指向用戶發送郵件以便說服用戶進行某項操作。在滲透測試中，大多數釣魚郵件的目的只是誘導用戶點擊某個東西，然后記錄下這一行為或是為稍后更大規模的滲透測試安裝一個程序。這之后，就可以利用客戶端軟件的某個特定漏洞，如瀏覽器和動態內容/媒體插件和軟件。

　　成功實施釣魚攻擊的關鍵是個性化！向目標用戶發送特制郵件，如從受信任的郵箱地址發出此郵件，可以增加用戶閱讀該郵件或是遵照郵件提示操作的幾率。一名好的滲透測試員一般都會仔細檢查郵件中的拼寫和語法錯誤；一封內容比較少的郵件，如果措辭得體，可能會讓人覺得更具可信度。

　　創建釣魚攻擊最常用的工具可能是開源社工工具包（SET）。通過菜單驅動的郵件和攻擊創建系統，它成為了最簡單的釣魚方式之一。而PhishMe Inc.公司的PhishMe和Wombat Security的PhishGuru也很有用。

　　社工滲透安全測試：假托（Pretexting）

　　假托（Pretexting）是指打電話給攻擊目標，試圖從目標對象那里套取信息。在滲透測試中，這種技巧適用于能提供有用信息的非技術型用戶。

　　最佳策略是提出一些小要求，并給出企業中一些真實員工的名字。在假托對話中，滲透測試員會解釋稱需要目標對象的幫助（大多數人都愿意配合完成一些看上去沒什么可疑的小任務）。一旦雙方創建友好關系，滲透測試員便會伺機套取更多信息。

　　在實施假托之前的偵查需要使用谷歌和Paterva Maltego等工具，這些偵查可以提供必要的背景信息。類似SpoofCard和SpoofApp這種電話代理工具以及Asterisk PBX插件可以隱藏滲透測試員的電話號碼，甚至是使顯示的號碼看似來自某個企業。

　　社工滲透安全測試：介質投放 （Media dropping）

　　介質投放（Media dropping）通常是指放在某個顯眼位置的USB閃存設備，如停車場或者建筑入口處。社工在閃存設備上存放了一些非常有趣的文件，而一旦這個閃存被打開便會在客戶端發起某種攻擊。

　　Metasploit是可用于創建此類文件的一款免費工具，它帶有內置惡意負載生成器。SET中的“傳染型介質生成器”選項雖然也可以利用Metasploit，但是卻有助于進程自動化。SET可以創建“合法的”可執行文件。目標電腦啟用自動運行時就會自動執行這個文件。自動執行技巧和有趣文件相結合可以增加攻擊成功的幾率。

　　而執行介質投放更為復雜的方法則是開發出能通過USB閃盤進行自定義攻擊或是購買能預置此類程序的USB閃盤。為了增加USB攻擊的成功幾率，還可以為設備添加自動利用漏洞和攻擊加載文件（以PDF，Word和Excel為宜）。然后在該USB上貼上能吸引人的標簽，如“HR數據”或者“就業”之類的。

　　社交滲透安全測試：追尾（Tailgating）

　　追尾（Tailgating）是指通過強迫或愚弄的方式進入物理設備。通常，這類測試所關注的問題是證明滲透測試員可以繞過物理安全防御。

　　滲透測試員應該計劃好獲取敏感數據或是快速安裝設備以證明自己成功滲透，因為在他們離開設備前所能利用的時間很短。滲透測試員可以將打印機或者桌上暴露的信息拍照，抑或是安裝一個滲透測試盒來提供wifi或3G網絡以便滲透員回訪。

　　通過使用上述四個社工技巧，滲透測試員可以發現企業的漏洞，并給予相關的安全控件推薦和培訓，這樣可以減少企業遭受惡意社工攻擊的幾率。

posted on 2013-05-31 11:25 順其自然EVO 閱讀(342) 評論(0)  編輯  收藏 所屬分類: 安全性測試