00:00
大家好,我是朱黑,轻描淡写的黑入网络,悄无声息的发动攻击,分分钟就顺藤摸瓜查到你的真实地址,似乎是大家对黑客这个名词的认知。如今,网络安全这堵墙日渐坚固,很多人都慢慢放松警惕,觉得无所谓,不会出事,但实际上没有绝对安全的系统。之所以如此,是因为系统安全最终取决于人,而人的心理弱点往往容易导致黑客通过社会工程学突破看似坚不可摧的防火墙。社会工程学简称社工,通俗来说就是利用人的心理弱点,如人的本能反应、好奇心、信任、贪婪以及规则制度上的漏洞,在攻击者和被攻击者之间建立起信任关系,获得有价值的信息,最终可以通过未经用户授权的路径访问某些敏感数据和隐私数据。任何系统的管理者和使用者都是人,无论系统部署了多少安全产品,采取了多少有效的安全技术,如果系统的管理者或者使用者被利用,这些防护技术和措施都将成为。
01:00
社时间,2022年8月地点,北京本片内容为根据真实黑客攻击事件改编,文中会以第一人称叙述,人名、地名均做修改处理。早在八月初,我参加了一场渗透测试,兵法有云,知己知彼,百战不殆。在确定好目标后,就要开始收集目标信息。信息收集及知笔的过程也是每一次攻击的起点。信息收集首先是收集域名信息,例如判断域名对应的IP及域名的boos信息。大部分网站C,但是我们可以通过CT、点目网SSH接图中的放进类似的网络空间进行搜索,便能获取到真实ID。随后我们可以去互联网上查询与该公司有关的任何信息,比如公司的邮箱格式、公司的员工姓名以及该公司有关的任何信息。并且我们还可以去get马云等代码托管平台上查找。
02:00
与此有关的敏感信息,有些程序员在将代码上传至代码托管平台后,并没有对代码进行脱敏处理,导致上传的代码中有包含如数据库链接信息、邮箱密码,还有可能有泄露的源代码等等。不过经过查询后并没有找到代码泄露方面的内容,并且经过简单的检测并没有发现明显的漏洞。不过我发现该企业员工在某职场社交APP很活用,并且男性员工远远大于女性员工。因为运维员工在公司系统里的权限都比较大,于是我购买了60个进行了企业认证的社交老账号,瞄准目标公司运维岗位的人员尝试钓鱼。随后我购买各种女生人设的配套资料进行伪装。最后我挨个寻找目标公司的员工,并且根据对方的喜好用对应的话术进行聊天。虽然很多人会有一点警惕心,但是广撒网总能碰到钓鱼成功的,这也是不断筛选的过程,筛选出信任我的目标群体,最后有一个员工成功上钩,对我比较感兴趣。
03:00
随后,我将其引入包装好的微信中进行聊天,并不断试探他的年纪、老家、生活、喜好,以此分析他的性格。因为网上聊天终归还是有一点不信任感,于是我便常常对他嘘寒问暖,并给他点外卖。在和他聊了一个星期后,便约他线下见面去喝酒,从言语一点点增加他对我的信任程度,并给对方喝完酒后的家教。随后假装自己生病,激发对方保护欲,并让对方有种很快就能见面了的感觉,进一步降低警惕心。又过了数天,当明确感觉对方对我的信任越来越高时,我便开始准备远程控制程序进行收割了。如果单纯的用一款病毒程序,对方肯定能很快反应过来并及时处理。于是我选择了市面上适用范围比较广的to。在4.2.6版本的to安装目录中有一个名为点ini文件,这其中client等于设备代码,Pass等于临时密码。设备代码是铭文,临时密码是加密过的。这里其实不需要直接去破解,可以通过更换文件的方式尝试直接替换临时密码。我们接着分析一下to登录后的文件,没登录的登录后是这样,接下来把登录后的多家的几行复制到未登录的文件,只要对方运行后,两个机器就同时登录了一个do账号。并且曾经连接过的设备也已。
04:22
行同步,这样就能实现获取到对方的登录代码和密码。随后,我假装自己电脑中的病毒,将改好的文件制作成免安装版发送给他,并引导他打开,过了一会儿便获取到对方的电脑连接密码了。这个时候,我假装成外卖小哥给他打电话,让他去取外卖。等他走后,我便连接对方电脑去下发执行的木马,并将该电脑作为跳板进行二次攻击,访问了公司内网多个高权限的IP和端口,最终如此简单的就获取到了目标公司的数据。最有意思的是,当攻击完成后,虽然目标公司察觉到了当锁定到被入侵的机器时,要求这名员工上交电脑方便溯源,但他以为是自己中的游戏和其他软件违反了高压线,拒绝配合,并且将硬盘里面的重要数据全部清除,导致对方溯源行动发生了很大的阻碍。不过出乎意料的是,对方使用了腾讯的IA产品,IA记录PC访问过的所有域名IUL通过分析Windows系统日志找到进程调用的记录配IA。
05:22
来了我使用跳板的IP在内网中的事情,随后对方的安全服务团队对我的后续攻击进行了阻断。高端的猎手往往会以猎物的方式出现,社会工程学往往充斥着我们的生活。我举几个例子,一、直接索要。比方说路上碰到一个很好看的女孩子,直接上去搭讪,索要微信,如果他给你了,那么相当于他的手机号码,他的微博,他的QQ,他的姓名,基本上所有公开信息都能被很快简单的获取到。二、信息冒充。这个办法比较考验演技,冒充有社会身份的人。比如在学校操场看见一个好看的女孩子,假如拿手机打开摄像头拍照,可能会被当成流氓,但租个单反,背上摄影包跑去跟对方说,你好,我是学生会的,看你长得很漂亮,想给你拍张照作为宣传的封面图可以吗?这个时候成功率就会大大的提高,并且能获取到更多的信息。三、反向收工这个操作指的是通过技术方式给对方制造故障,比方说通过局域网渗透了对方的电脑,然后弹出警告你的银行。
06:22
卡里面的钱被我全部转走了,或者说你的QQ号被我盗了。大部分人第一时间会去尝试登录查看真假,当他登录的时候,账号、密码已经被记录下来。以上几种行为常出现于个人为了达到自己的目的中出现,但如果企业发生这种事情,造成的危害是放大成千上万倍的。根据研究报告显示,自从新冠疫情以来,企业钓鱼攻击数量也随疫情的反复而震荡向上,并且两名员工中就有一名打开并阅读网络的钓鱼电子邮件,每三名员工中就有一个点击钓鱼电子邮件中的链接或打开文件附件,每八名员工中就有一名向攻击者泄露网络钓鱼电子邮件中要求的信息。不要觉得自己肯定不会被诈骗,每个精通社工的人都是深谙心理学的存在,每个被骗的人起初也都是这么想。就比如某湖员工去年被诈骗,攻击者事先全面收集某户的公司信息,并根据收集到的情报,结合目标情况,捏造令人信服的说辞,之后盗取内部员工的邮箱账号、密码,最后冒充财务部门群发邮件。
07:22
工资补贴通知。在伪装完美的情况下,大部分人都会相信邮件内容并提供信息,这个时候诈骗就成功了。对于企业来说,培训员工的网络安全意识是必不可少的,同时也需要借助合适的安全产品和安全服务提升企业的防护能力。
我来说两句