我妈说要吸引人注意,首先标题要够长~

我的兄弟叫顺溜之钓鱼社工测试以及企业安全防御-JE2Se ' Blog

从小妈妈就孜孜不倦的教导我们要做一个诚实守信的好孩子,这么多年我也一直听妈妈的话。偶然的机会,我接触到了社会工程学测试的项目,社会工程学,欺骗的艺术,这是我首先映入脑帘的一个印象,难道我这么多年守身如玉的不撒谎好习惯要破?两为其难。后来还是说服了自己,心里为的是构造更安全更优质的互联网环境,舍我其谁~于是开始了社工测试的征程。测试的重点为企业的邮件安全,测试企业员工对钓鱼邮件的安全意识。

我的兄弟叫顺溜之钓鱼社工测试以及企业安全防御-JE2Se ' Blog

近年来的信息泄露事件有点多啊,黑色产业链锁着一个个利欲熏心的人。基于国内的监管以及对信息安全的重视,越来越多的企业开始着重于互联网安全防护,添加硬件防火墙、入侵检测系统、虚拟专用网络或者其他安全产品以防止网络入侵。然而造成信息泄漏事件的原因不只是网络入侵方面,还存在另外一种威胁,这种威胁不是技术层面导致的,而是由于企业内部原因导致的安全事件,误操作啦~钓鱼邮件啦~删库跑路啦~巴拉巴拉~外加上渗透攻击的难度的逐渐增高,社工方面的攻击趋势稳健增长,据我的不完全统计(咳咳),由社工攻击造成的泄漏事件在整体事件中的比重变得越来越大,其中很多的事件的起因源于企业对钓鱼邮件的监管力度不足所引起的。当你误点击了黑客精心构造的钓鱼邮件,你老板的WWE邀请函就可能理你不远了。而今天我们交流的方针就是以钓鱼邮件测试方法的视角上去分析企业面对的风险点是哪些?该如何去防御!


首先先跟大家说一下我认为的钓鱼邮件攻击测试常见的几种类型:

第一种:信息索取

第二种:恶意链接

第三种:恶意附件

接下来我大概的阐述下每一种类型惯用的测试方法以及“原理”

第一种:信息索取

这种方式大概的是说我们伪装成一个人或者一个部门向目标者索取一些东西,接下来分别以个人、部门的角度来说每种方式的测试方式。

个人:先举一个简单的例子

<小J你好,我是营销部的小X,我现在在外,不方便查看咱们的通讯录,你能帮我找一下吗?十分感谢!>

首先我们先看一下这封邮件的前提,这是针对某一个人的测试,你需要收集关于目标的信息,如说你要测试的人的名称,部门,以及公司的部门结构,这样即可以达到模拟伪正常邮件的目的,也能增强邮件的可信度,接下来我们解释下例子中的话术,收集信息什么的就不说了,说一下就是我们联系他的动机,为什么我看不到我向你索取的东西,如我为什么找你要通讯录,以在外不方便等等理由去使用,还有一点,我们写这种类型的邮件,一定要做到"随便",怎么随意怎么来,亲民贴地气才是王道,就像两个朋友简单的聊天那样,要把自己融入到这个角色,这个时候我估计你就想问了,怎么去融入,给大家推荐一本书《演员的自我修养》

我的兄弟叫顺溜之钓鱼社工测试以及企业安全防御-JE2Se ' Blog

还有比较的重要的一点,测试不要操之过急,刚上来就要人家的公司的机密文件,只要对面不是傻子,估计你是不会成功,我们需要做的事让对方承认我们的身份,可以先从小事上开始,要从蛛丝马迹获取信息,在充分的利用信息去增加你的钓鱼的成功率,记得有次测试,目标企业的邮箱使用着自动回复的功能,在不方便回邮件的情况下设置自动回复,由于自动回复信息多为自定义设置,有的时候这个自动回复中会泄露很多的信息,举一个例子,收到自动回复,内容大概如下:

<您好,我现在在开会不方便回复,如有需要,请联系副主管小T,电话为15000000001>

看看你获取到了什么信息,目标有事让你直接联系副主管,这种魄力,口吻,可能比副主管级别高,你一定会问,为什么是可能,当然也有那种小员工老爸是集团董事长,豪门公子体验生活,历练人生.......有点跑题了。我们可以推断出这个人的级别,得到副主管的名字以及联系方式,接下来我们就可以把这些有效的信息添加到我们的钓鱼邮件中,修改如下:

<你好,小J,我是营销部的小X,我想要一下咱们部门的通讯录,我刚才联系副主管小T,他没有回我,给他打电话说是什么拨打的是空号,他的电话不是15000000001吗?>

看这个情况我们就把我们刚才收集的信息添加进去了,你可能会问,添加这些信息干嘛,当然是原谅他喽~~呸,当然是让他更信任我们喽,满足让他相信我们的条件,邮件中也掺杂了其他咨询来混淆我们真正的目的,让他去确认电话号,从而相信我们,因此发给我们通讯录。简单的总结一下,需要我们互联网社工一些有效信息,循循渐进,不要急功近利,利用可用的信息丰富我们的钓鱼邮件,当然心态很重要,不是做一件事就会一定成功,要多试几次~次数越多,我们成功的几率越大!

部门:聊一下方式

常常有一类的邮件,会是说什么邮件系统要升级,请反馈您的邮箱密码回复至本邮件,我一般碰到这种邮件我一般就删除了,看起来太假,而大多也都是类似的主题,但我们怎么让这一封“我们”看起来很假的邮件。能成功达到我们的目的?我给大家聊一下我们的测试人群类型的选择。通常我们索取这类信息,可信度不是很高,但是判断这一标准的是“我们”的安全意识,经常以计算机为伴,陪计算机的时间多过我们的女朋友的“我们”~普遍的安全意识应该都不错,当我们执行这类操作的时候我们要注意发放给安全意识不算太高的人(接下来的话没有歧视态度,请大家不要斤斤计较),我们可以发送给非技术人员,譬如销售类,后勤类,等等非技术岗人员,因为此类职位平时不是以计算机为重,相对的安全意识可能会薄弱,如果加以一些相关的利害关系去引诱,就很可能会中招,如以下这种邮件:

<您好,这里是信息技术部,现在发送一则重要通告,由于响应公司内部的邮件安全要求,对邮件系统进行升级,目前正处于邮件数据迁移阶段,请各位回复邮箱登录凭证信息,请各位务必与12日之前回复,如未在指定范围内完成数据迁移,后续可能会造成邮件无法收发等一系列事件,为了不影响大家的正常工作,请收到邮件后及时回复,谢谢大家的配合>

好吧!这种吹牛逼好累,不知道邮件模版不知道该写一些什么样的内容,不要看主题,要看思想,希望大家懂我想表达的意思就行,我们接着聊,我们这封邮件受众面是安全意识相对薄弱的部门群体,我们会在邮件中添加一点威胁的元素,告诉他如果不按照要求做会可能造成什么样的影响,如果产生影响后果自负啥的,引诱他去回复我们的钓鱼邮件。

第二种:恶意链接

恶意链接一般都衔接着我们的钓鱼网站,一个非法的域名,首先怎样引诱他毫无顾虑的点击是最先需要解决的,通常有以下的几种方式:

  • 做成短链接的方式,http://t.cn/RTjVfDW  类似这样,超链接不会显示它的真实地址
  • 另外一种是二维码,下图这个二维码就链接到了本博客,光是看,是判断不了真实的地址,除非你能像口算Md5,算二维码判断链接的本领。
我的兄弟叫顺溜之钓鱼社工测试以及企业安全防御-JE2Se ' Blog

 

  • 还有一种是通过邮件系统的文字超链接方式,每一个邮箱都支持,以foxmail为例。我的兄弟叫顺溜之钓鱼社工测试以及企业安全防御-JE2Se ' Blog 我的兄弟叫顺溜之钓鱼社工测试以及企业安全防御-JE2Se ' Blog图片中我们插入的文字就成了超链接,点击文字后就会跳转到我们地址。

我们再来聊一下申请让人迷惑的钓鱼域名的技巧

举一个例子,我们目标的企业邮箱地址格式为wiwljo.com,接下来模拟几个钓鱼测试域名

  1. wlwljo.com(方式:将i变为l,我们可在邮件中用大写进行绕过,因为大写的I跟小写的l近似,在邮件中配合上大写,完全可以在视觉上迷惑对方,WlWLJO.COM
  2. wiwijo.com(方式同上,利用大小写之间的不同来进行钓鱼,WIWlJO.COM
  3. wivvljo.com(这个就是利用两个V挨着会有W的错觉进行攻击,wivvljo.com升级版vv i vv l  j o .c o m
  4. wiwlj0.com(这个是利用0和o的来进行钓鱼测试链接的伪造,wiwlj0.com
  5. wiwjlo.com(调换一字母的位置,wiwjlo.com

你可能会说,这上面的模拟出来的,一点都不像啊,这是因为我的这个编辑器的问题,换成宋体,或者微软雅黑就像了~

针对第五条调换字母的方式我们再讲解一下,以部分人的看域名惯性潜意识,如果很长的话,可能只会注意到域名的前三位或者后三位,所以建议在域名的中间进行修改,这应该算是视觉的干扰攻击吧!

虽然说用这些方式可以迷惑我们在邮件中的钓鱼链接的地址,但是当我们点击出现在浏览器上的时候。还是会遗漏真相!我们还是有可能会被发现,所以我们还需要做点什么去诱导他,方法是在视觉角度对他进行浏览重点引导,大概的意思就是,我们要从主题上的内容去吸引目标,让他关注点不在链接的真实性上。

我的兄弟叫顺溜之钓鱼社工测试以及企业安全防御-JE2Se ' Blog

就问你打开后中最先注意的是什么?就是大概这种感觉吧,在视觉主题上强调引诱主题,影响目标对链接的判断。

当然最重要的还是主题,什么样的主题可以激发他的兴趣,一般来说,只有切身到自己利益的情况下,人关注的欲望是最高的,给点什么节日小礼物啦,发个京东卡啦,类似表扬信啦等等等等~

当然关于邮件域名的伪造方面还有其他的一些方法,譬如SPF攻击。互联网上有一些邮件域名没有配置SPF记录或者SPF记录值设置不当,就会被利用伪造邮件的后缀域名。还有一些邮件伪造的工具,譬如KALI中的SWAKS等等,都可以配合在我们的测试中。

第三种:恶意附件

恶意附件,字如其意,这种通常以附件中包含恶意执行脚本、木马或者间接OFFICE漏洞攻击的形式显示出来,直接的木马就不说了,直接一个远控的客户端发过来让你点,这种情况多半需要我们写一些引诱的词汇让他去下载,没错,我又要开始编故事了。

<你好,这是这次的视频会议概要,由于录屏软件出现了部分问题,所以暂时用视频录像专家进行录制,后缀为exe,不需要安装,点击直接就可以进行观看,音量调节播放中鼠标右键会有提示,请查看>

大家也都知道嘛,那个视频录像专家出来的视频就是exe格式的,而且在邮件中我还突出的说了一下具体的功能的使用方法,目的也是为了转移注意力,增强可信度罢了。

另外一种就是Office攻击了,这个不打算多说什么,主要的难点取决你是否藏了几个0day,目前很多的杀毒安全软件的病毒库更新的十分快,如果没有0day漏洞的话通常都是见光死!当然也不排除杀软没有更新库、没有开启杀软、管理员没有打补丁的情况,希望还是要有的,一旦实现了呢?

我的兄弟叫顺溜之钓鱼社工测试以及企业安全防御-JE2Se ' Blog如果对方开启了杀软,但是还想使用已经暴露在外的Office漏洞去攻击,命中度可能就不算太高了,如果执意使用这种方式,我们就需要接着错误引导,引导他主动关闭自己的安全防护软件。

<您好,附件是这次的测试报告,请注意查收,(注意,由于测试报告中有展示插件可能会报毒,请关闭杀软进行打开)>

当然这种就是“你情我愿”那种状态了,就是想办法,让他关了杀毒软件~~~~


先割一下,聊一下配合的攻击方式,聊一聊如何将套路利用在攻击中,我称它为“二次钓鱼”

欲擒故纵,首先我们向他们发送一个包含附件的邮件,那种典型的失败钓鱼邮件的类型。第一封邮件发过去之后,稍微等一段时间,再以另一个邮件的身份,通常以信息安全部的身份发送第二封邮件,例子如下

<各位同事,经同事举报,于上午我司接收到钓鱼邮件,格式为图下(第一封邮件的截图),附件存在Office漏洞CVE-2017-11882命令执行攻击,以及一个可疑的0Day漏洞,如有同事打开附件,您的邮箱可能遭受到了攻击,预览等都会造成攻击,漏洞主要以窃取邮箱的登陆凭证为目的,目前漏洞已经被修复,请回复密码(点击以下链接)进行密码的重置......>

大概就是这种类型的,先吓唬她,再吹牛逼,名词越专业越好,让他迷迷瞪瞪,天花乱绕,再执行二次钓鱼攻击~


常见的钓鱼测试测试角度大概就是这么几各方面,类型总是换汤不换药,都是通过不同的主题,方法进行攻击。


根据上面总结的几个常见的攻击方式,企业应该怎么防护呢?

从企业角度上,我们要在邮件网关上尽可能的添加一些黑名单什么的
  • 举例说明baidu.com,添加baldu.com,baido.com等等与公司域名相近的网址,做一下监听拦截
从员工角度上,从上面的攻击方式来看,我们需要做的是:
  • 不要回复可疑邮件、垃圾邮件、不明来源邮件。
  • 收到邮件后要确认邮件的发送地址,这个很重要,如果在这个角度上就发现不同,就可以直接把邮件pass掉(不排除有其他更先进的伪造域名技术)。
  • 不点击有邮件内的链接。如实在是有必要,请确认邮件链接的安全性,大小写,短域名一定要留意。
  • 不随便点击附件,要确认邮件的可靠性再进行操作
  • 企业内部邮箱,禁止互联网上使用。
  • 员工应对自己的邮箱账号和口令的安全负责,不得将邮箱账号借与他人。
  • 收发企业业务数据时,严格规范使用内部邮箱,公务处理和私人邮箱分开。
  • 针对非公司邮箱的信息索取,不管对方说的多么的真,给你提供了多少的证据,都不要轻信,打个电话核实一下很有必要,任何核心的东西,也不要以邮件的方式进行流通。
  • 遇到钓鱼邮件,要及时向安全部通告,积极响应,预防其他同事受到影响
  • 若发现邮箱存在任何安全漏洞的情况,应及时通知公司邮件系统管理人员。
  • 不要以为你识破了对方的钓鱼信息,就可以回复调戏他

(PS:有一次测试,我们这边的钓鱼网站,有个用户识破,但还是一直在浏览我们钓鱼网站,填写垃圾数据,但是如果在真实环境中,难免黑客会在网站上嵌套一些其他的攻击手段引诱你,以完成目的。所以说,我们不要轻易尝试,识破钓鱼网站,要第一时间向上层汇报)

我的兄弟叫顺溜之钓鱼社工测试以及企业安全防御-JE2Se ' Blog

字也是马的不少了,感觉赶上当年上学时的论文了,文章里面很多的例子实在是可笑,各位看客意会即好,毕竟文笔有限,还有部分攻击的口语也是因地适宜的,根据不同的情况有不同的话术,也需要大家去自行摸索,不专业的地方也请各位大佬不要喷!

对这方面由自己独特的见解,也请不吝赐教~~


(本文档仅限于测试交流学习,请不要触犯威严的法律)


如果对这篇想转载的话,也请大佬们受累标注下版权,写文不易!

 

一支穿云箭~