侦查和欺骗:这里是社交工程攻击必备的技术工具

  • 反抗绝不是简单的异议,反抗需要充分的知识技能、高超的心智和实战经验

此前我们已经做过多次攻击演示,足够说明一些微小的细节性疏忽都会导致严重的后果,如果遇到高手的话,那是防不胜防的。人性弱点具有极高的可利用性,但除了不断警告这些可能的威胁之外别无他法。而多数人尚且没有遭遇到社交工程攻击的高手,于是很难体验到这些警告意味着什么,直到中招,为时已晚。

社交工程学方法已经被越来越多的政府用来监视和渗透反对派群体。在这里看到中国使用这种方法攻击异议的一个小案例。

为了突破这一矛盾,我们可以试着反过来讲述这个问题,即 展示社交工程攻击的基本操作,如果您能理解这些技术的作用,就能体会到应该如何保护自己。如果您有一个正义的目标,而这些“程序不正义”的工具是否可以帮到您……将由您的价值观来决定。我们不会做建议。

我们更希望提供的知识能帮助那些追求安全保障的团体和个人,如果您还没有聘请专业的渗透测试技术人员的话,可以借此自行测试一下,看看您和您的团队的安全意识有多可靠。

好的,我们开始。

信息战这个词如今又变成了安全领域的热词,而它并不是个新词。自古以来作战要想赢得胜利,情报都是其中最基础的关键因素 — — 从情报收集、到分析、到策划行动。社交工程攻击也一样,社交工程师决胜的武器就是对目标人的数据收集,掌握充分的情报才能从中分析出目标最可能具备的弱点,以便加以利用。如果在收集方面下力不足,将导致整个行动严重失败。

如今随着数字化程度迅速加深,信息收集已经变得更加简单了,要知道早年的私人侦探为了收集基本信息可是要花费数周甚至数月的时间。现在所有人都在网上,很多顺手的技术工具可以大幅提高生产力,不仅能收集、还能分类及有效运用信息。

我们先从收集工具开始介绍。打开互联网资源大门。

Maltego

这个东西我们以前介绍过,在开源调查技术中。是的,开源调查和社交工程攻击使用了很多同样的技术,很明显前者是正义的,后者“程序不正义”。本文将专注于一系列“不正义”的玩法。

信息收集是很多不专业社交工程人员的薄弱环节。如果存在一种工具可以同时对一个域名、IP 地址、甚至是一个人进行几十种搜索;能提示各项信息的权重,显示信息是否重要;还有一个 GUI 界面,可以用不同的颜色表示不同的对象,可以将数据导出利用,最重要的是还有免费版,你觉得怎么样?

Maltego 就是这样的迷人,它简直就是攻击者的梦想。这个神奇的工具由 Paterva 公司的员工开发,免费版可以在它们网站下载,BackTrack4 的每一个版本都集成了 Maltego 程序。如果您想解除免费版的功能限制,需要花费大约 600 美元就可以得到完整版授权。

将 Maltego 视为一个信息的关系型数据库,能发现互联网上信息之间的联系(在应用中称为实体)。Maltego 在后台做了很多工作,如挖掘电子邮件地址、网站、IP地址和域信息。点击几下鼠标就可以通过目标域名自动搜索到所有相关电子邮件的地址信息。

只需要在屏幕上简单地增加“电子邮件”转换器,输入想要搜索的电子邮件地址,就可以得到下面这样的效果:

很棒吧。而传统的分析方法你必需用钉子和红线挂满整面墙。Maltego 能自动采集大量信息并为用户实现数据的自动关联,可以节省大把的搜索和分析的时间。Maltego 真正的强大之处在于找到这些数据之间的关系 — — 数据挖掘的确是基础要务,但将信息关联起来无疑是更具直接价值的彩蛋。

其他好用的信息收集工具详见上两篇文章:

Social Engineer Toolkit — SET 社交工程工具包

Social-Engineer Toolkit 是一个专为社交工程设计的开源渗透测试框架。 SET 有许多自定义攻击向量,可以让你快速进行可靠的攻击。这个强大的工具包是流行工具 FastTrack 的开发者 David Kennedy 创建的。一些简单的 Python 脚本可以让社交工程人员制造出附加恶意代码的 PDF 文件并随邮件发送。如今它已成为渗透测试的标准工具包。

> 安装

步骤十分简单,只需安装 Python 和 Metasploit 框架。这两个软件在 BackTrack发行版中已经存在,所以不用担心。BackTrack4 中甚至已经包含了 SET。如果需要从头安装,过程也十分简单,依据导航进入安装目录,在控制台窗口运行以下命令:

svn co http://svn.secmaniac.com/social_engineering_toolkit set/

执行完命令之后将得到一个名为 set 的目录,该目录下包含了所有 SET 工具。

> 运行 SET

过程也十分简单,只需在 set 目录下输入 ./set,就会启动初始菜单,看到下面这样

  • 社交工程攻击
  • 快速追踪测试
  • 第三方模块
  • 升级软件
  • 升级配置
  • 帮助
  • 退出

选第一个,然后:

  • 鱼叉式网络钓鱼攻击
  • 网页攻击
  • 传染媒介式攻击(俗称木马)
  • 建立 payloaad 和 listener
  • 邮件群发攻击
  • Arduino 基础攻击
  • 无线接入点攻击
  • 二维码攻击
  • Powershell 攻击
  • 第三方模块
  • 返回上级

选第二个,然后:

  • java applet 攻击(网页弹窗那种)
  • Metasploit 浏览器漏洞攻击
  • 钓鱼网站攻击
  • 标签钓鱼攻击
  • 网站 jacking 攻击
  • 多种网站攻击方式
  • 全屏幕攻击
  • 返回上级

以下是两种最常用的攻击形式:鱼叉式网络钓鱼攻击,和网站克隆攻击。分头演示一下。

1、钓鱼攻击

社交工程测试人员使用 SET 可以创建有针对性的电子邮件,对客户进行测试,记录有多少人上当,然后利用这些信息做针对性培训,帮助人们识别和避免这些陷阱。

在上面菜单中选择 1,会出现以下内容:

  • 执行群发邮件攻击
  • 创建一个文件格式负载
  • 创建一个社交工程模版

第一个选项用于执行邮件攻击,第二个用于创建一个恶意的 PDF 或其他文件,以备作为邮件附件发送,第三个选项是创建模版,以备日后使用。

接下来选择一个攻击向量,比如选择 6,这种攻击对许多版本的 Adobe Acrobat Reader 软件都有效 — — 应用了 Adobe util.printf() Buffer Overflow 漏洞(已补)。

接下来几个选项会设置攻击的技术问题。点击选项 2 — — Windows Meterpreter Reverse_TCP。使用 Metasploit 接收反向会话、或者受害者电脑的 IP 和端口,以避免入侵检测系统(IDS)或其他系统的报警。

选择 443 端口,使数据流看起来好像是加密的 SSL 数据。SET 会创建恶意 PDF 文件并设置监听功能。

执行上述步骤后,SET 会询问是否要更改 PDF 的文件名,例如改成类似 TechnicalSupport.pdf 等更加隐蔽的名称,然后输入邮件信息以备收发。最后,SET 发出一封看起来很专业的电子邮件,引诱用户打开附件中的 PDF 文件。

邮件发送之后,SET 会创建一个网络监听器等待目标打开文件。一旦目标点击了 PDF,监听器就会执行恶意代码,让攻击者得以进入受害者的计算机中。

这是一个破坏性很强的攻击,因为它利用了客户端软件的漏洞,而且在大多数情况下,屏幕上不会显示有情况正在发生。让目标人完全无感。

这只是应用 SET 可以发动的众多攻击中的一种。

延伸阅读:关于如何防备《系统被攻击、用 Tor 被钓鱼、好奇害死猫,怎么办?- 把危险隔离出去

2、Web 攻击

SET 也允许审计人员克隆任何网站并在本地运行。这种攻击类型的强大之处在于可以让攻击者以多种方式诱骗他人访问克隆网站并从中获利。攻击者既可以伪装成更新网站的开发者,也可以仅仅对网址进行细微的修改(填加或删除一个字母),最终诱使他人访问克隆的网站。

一旦有人访问了克隆网站,便可以发动多种不同的攻击,包括信息收集、证书收集和直接入侵等。

要在 SET 中运行此攻击可从主菜单中选择选项 2(网站攻击),选择之后,可以看到以下几个选项:

  • Java Applet 攻击方法
  • Metasploit 浏览器的入侵模式
  • 证书获取的攻击方式
  • 标签绑架攻击方法
  • 中间人攻击方式
  • 返回前面的菜单

选项1中的 Java Applet 攻击是一种特别邪恶的攻击。一般情况下,Java Applet 攻击会在用户界面上弹出一个 Java 安全警告,说该网站已被某大牌公司签名,并让用户同意这一警告。

进行这种攻击,先选择选项 1,然后选择选项 2 — — 网站克隆(Site Cloner)。

选择网站克隆的时候,需要输入你想克隆的网站地址。这里可以选择想克隆的任何网站 — — 客户的官方网站、客户供应商网站或者政府网站。正如你所想象的,重点在于选择一个对目标有意义的网站,就是目标最可能不走脑子就直接点击的网站,判断这点就要基于前面强调的数据收集和分析。

在这个练习中,假设是克隆 Gmail 网站。屏幕上会显示如下信息:

上述工作完成之后,SET 会询问你想要在自己与受害者之间创造什么类型的连接。要想使用本文讨论的技术,选择 Metasploit 的反向会话界面,也就是 Meterpreter。

SET 为负载加密提供了多种选项,这是为了避开反病毒系统的检测。

下一步,SET 启动内嵌的网站服务器为克隆网站提供服务,同时启动监听器准备捕获浏览该网站的受害者。

现在只需要攻击者构造一封电子邮件或给目标打个电话,让目标访问该假冒的网站。最终结果是,一个 Java Applet 出现在用户面前,告诉他该网站已被微软签名,他需要允许安全证书运行,才能继续访问网站。

只要用户允许了该安全证书,攻击者就可以立刻入侵他的计算机了。

> SET 的其他特性

SET 是具有实战思维的社交工程人员开发出来的,所以工具集所提供的都是审计过程中常常会用到的攻击方法。

SET 在不断更新和发展,又增加了一些其他的攻击方式,还增加了一个传染性媒体生成器。传染性媒体生成器允许用户创建带恶意文件的 DVD、CD 或 USB,这些传染源可以混杂在目标对象的办公大楼里。当它们被插入计算机时,将触发恶意负载程序的执行,从而开启受害人机器的入侵之门。

SET 也能创建简单的负载和相应的监听器。如果社交工程测试人员想要通过一个提供反向会话功能的 EXE 可执行程序连接回他的服务器,可以在审计过程中携带一个 U 盘。如果面前的机器是他想要远程访问的,便可将 U 盘插入,导入负载文件,然后点击运行。这样可以在目标机器和他自己的机器之间建立起一个快速连接。

有一种较新的攻击方式叫 Teensy HID 攻击。Teensy 设备是一个小的可编程电路板,可嵌入键盘、鼠标或其他可连接电脑的设备。

SET 可对 Teensy 编程,设置这个小电路板在插入电脑时将执行何种命令。常见的命令包括创建反向会话或监听端口等。

SET 的其他特性还包括它提供了一个 Web 界面。这意味着 SET 会自动启动 Web 服务器程序,从而更易于应用。

基于电话的攻击工具

人人都有手机的时代,这样的工具会非常“高效”。智能手机的普及意味着越来越多的人在手机上储存密码、个人数据和私人材料。这可以更方便社交工程人员通过不同场合接触目标以获取更多数据。

假设一下,如果我已经了解到你是一位刚入职不久的新员工,什么样的电话最容易让你立即接听?当然是从“公司总部”打来的电话,而且你会毫不犹豫地提供信息。

苹果和安卓手机都有可利用的应用程序可以将来电显示号码篡改成任何号码。利用这类应用程序,社交工程人员能够以较低的成本将自己的拨号伪装成任意号码。

篡改来电显示

主要是篡改目标的来电显示信息,也就是说,让对方屏幕上出现另一个号码。使用这种方法的基础是需要首先得知目标人最可能立即接听、且毫无疑问准确回答你需要的问题的号码。还记得我们在*伪装*系列中介绍的人性懦弱吗?在这里就派上用场了,只要你能伪装成比目标人的等级更高的威权人士,就能操纵对方做你需要的事。

> SpoofCard

这是一种很流行的篡改来电显示的方法。使用这张卡可以冒充随卡提供的800个号码,输入 PIN码和希望显示的号码,然后输入想拨打的电话号码就可以了(在这里看到视频介绍)。

SpoofCard 还有其他有趣特性,比如对通话内容进行录音、伪装成男声或女生等。这些特征大大提高了拨号者的伪装能力,可以借此欺骗对方提供有用信息。

> SpoofApp

苹果、安卓和黑莓智能手机上都有大量可以伪造来电显示的应用程序。SpoofApp 是将 SpoofCard 技术实现在软件包里了。

不用真的拨打指定的号码,只需在应用程序中输入想要拨打的号码,然后输入想要显示出来的号码,SpoofApp 就会和目标建立连接,而目标电话上显示的就是你刚才输入的伪装号码。操作非常简单。

以上两个工具不建议做高度敏感的攻击操作,因为数据在第三方手里。没关系,还有另外一个可以避免这一问题。

> Asterisk

如果你有一台多余的计算机和一个 VoIP 服务,就可以使用 Asterisk 服务器来篡改来电显示。Asterisk 服务器的运行机制和 SpoofCard 非常相似,只是篡改来电显示的服务器不一样。在这种情况下你使用的是自己的服务器。这点很有吸引力,因为它提供了很多自由,不必担心线路中断或时间耗尽。

在这里看到详细介绍:https://www.social-engineer.org/wiki/archives/CallerIDspoofing/CallerID-SpoofingWithAsterisk.html

Asterisk 的优点在于免费、安装好后使用简单、并且具有很大的灵活性,你完全可以自己控制它 — — 个人信息和账号数据就在你手里,而不是在任何第三方手里。缺点在于不仅需要额外的计算机或虚拟机,还需要您熟练使用 Linux,此外还需要一个 VoIP 服务提供商。如果你的计划很强大,这些东西完全值得搞定!

密码分析工具

密码(口令)分析工具能够帮你分析目标及其可能使用的口令。在目标信息收集完成后下一步就是要分析其可能使用的口令和可攻击他的方式。社交工程人员可以构建一个潜在的口令列表用于暴力破解。从工具角度上看,构建可能的口令列表可以加速攻击。

这一小节介绍几个密码分析工具。

在网上公开个人资料的人数是非常惊人的,公开的信息各种各样,关于自己、家庭以及生活琐事、随时随地的内心所想等等。基于人们在社交媒体上泄露的消息,以及在网络上可以找到的其他信息,凭借下面将要讨论的工具,社交工程人员可以勾勒出某些人的全部生活。

1、通用用户密码分析工具

通用用户密码分析工具(Common User Password Profiler — CUPP)可以使密码分析工作更加简单。Murgis Kurgan 或称为 j0rgan 开发了这个神奇的小工具。它是包含在 BackTrack 渗透测试工具中的一个脚本,也可以通过 www.social-engineer.org/cupps.tar.gz 下载。

密码强度就是猜测、使用加密技术或自动化测试库破解密码的难度。弱口令可能非常短或只使用数字和字母字符,这样就很容易破解。弱口令也很容易被那些对用户进行分析的人直接猜到,比如生日、昵称、住址、宠物或亲属的名字,或者 God, Love,money, password 等常用单词。CUPP 之所以能是一个完美攻击工具不过是因为太多人一直在使用弱口令,即便这么多年来所有安全专家都在强调密码强度的重要性、密码管理器的重要性(摊手)。

以下是源自 BackTrack4 中使用 CUPP 会话的内容。

请注意,根据所提供的资料最后创建了包含 13672 个密码的字典文件。此类工具的作用在于减少了社交工程人员猜测密码的工作量。

2、CeWL

其开发者的描述是,CeWL 是一个 Ruby 应用程序,它可以通过给定的 URL 进行指定深度的搜索,并可扩展到外部链接,最终生成一个可用于密码破解的字典文件,John the Ripper 等密码破解工具可以使用这个字典进行密码破解。有关 CeWL 的更多资料可以在这里找到:www.digininja.org/projects/cewl.php

下面看一下在 BackTrack4 中使用的情况。

[email protected]:/pentest/passwords/cewl# ruby cewl.rb
— help cewl 3.0 Robin Wood ([email protected])
(www.digininja.org)
Usage: cewl [OPTION] … URL — help, -h: show help — depth x, -d x: depth to spider to,
default 2 — min_word_length, -m: minimum word length, default 3 — offsite, -o: let the
spider visit other sites — write, -w file: write the output to the file — ua, -u user-
agent: useragent to send — no-words, -n: don’t output the wordlist — meta, -a file:
include meta data, optional output file — email, -e file: include email addresses,
optional output file — meta-temp-dir directory: the temporary directory,default /tmp -v:
verbose URL: The site to spider.
[email protected]:/pentest/passwords/cewl# ./cewl.rb -d 1 -w pass.txt http://www.targetcompany.com/about.php
[email protected]:/pentest/passwords/cewl# cat passwords.txt |wc -l 430
[email protected]:/pentest/passwords/cewl#

这是针对某个目标公司网站使用 CeWL 的案例,从其网站的一个网页中产生了430个可能的密码。

CUPP 和 CeWL 只是用来帮助分析和生成潜在密码的诸多工具中的两个。你可以运用这些工具做一个有趣的实验,输入自己的信息,看看你的密码是否能够被生成。能够帮你清楚地认识到密码安全的重要性。

总结

正所谓“好马配好鞍,良将配宝刀”,技术工具是社交工程的重要方面,掌握工具的功能并且能熟练使用它们就是决胜的关键。

工具不仅包括软件,也有硬件工具,比如可以用来很好的跟踪他人的硬件工具:SpyHawk,就是一个超级 GPS 跟踪器,功能强大,轻便易于隐藏,安装附带的软件也很简单。该设备有强磁性,可以吸附在金属表面上。该硬件附带的软件可以在谷歌地图上清晰显示目标的动态,随日期时间显示,非常直观。跟踪器数据采集对社交工程攻击来说大有裨益。了解到目标的位置及停留的地方,攻击者就可以确定在何处复制 RFID 证件或者取得钥匙模印。

我们的唯一要求是,您的目的必需是正义的!您需要有足够的道德感,绝不能使用这些工具迫害善良的好人。不论您是调查记者、开源情报分析师还是捍卫公民权的组织和个人,这些工具都能发挥极大的良性作用。

反抗绝不是简单的异议,反抗需要充分的知识技能、高超的心智和实战经验。我们相信中国的读者非常聪明,足够领略到这些意义。

短短一篇文章不可能将所有社交工程工具包含进去,以上属于仅举几例,但已经足够使用。充满智慧的您还可以自己开发出各种各样顺手的工具,就像我们曾经在 #OSINT 演示中呈现的那样。要想成功,光靠武器还不够,您必需更多的练习、练习、再练习,直到身体和“武器”浑然一体。⚪️

广告

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据