網絡攻防原理與技術 第4版 課件 第12章 社會工程學

本PPT是機械工業(yè)出版社出版的教材《網絡攻防原理與技術（第3版）》配套教學PPT（部分內容的深度和廣度比教材有所擴展），作者：吳禮發(fā)，洪征，李華波本PPT可能會直接或間接采用了網上資源或公開學術報告中的部分PPT頁面、圖片、文字，引用時我們力求在該PPT的備注欄或標題欄中注明出處，如果有疏漏之處，敬請諒解。同時對被引用資源或報告的作者表示誠摯的謝意！本PPT可免費使用、修改，使用時請保留此頁。聲明第十二章社會工程學內容提綱社會工程學常用技術2社工庫與社會工程學工具3防范社會工程學4概述1社會工程學人是核心要素IATF核心要素：人、技術和操作，其中人是信息體系的主體，是信息系統(tǒng)的擁有者、管理者和使用者，是信息保障體系的核心，是第一位的要素?！叭恕辈粌H是安全的終極目標，也是安全的核心手段和最危險的攻擊面定義維基百科：社會工程是操縱他人采取特定行動或者泄露機密信息的行為。它與騙局或欺騙類似，故該詞常用于指代欺詐或詐騙，以達到收集信息、欺詐或訪問計算機系統(tǒng)的目的。大多數(shù)情況下，攻擊者與受害者不會面對面接觸社會工程學定義韋氏詞典：“社會(Social)”是指“社區(qū)中屬于或與生活、福利以及人際關系有關的”，“工程(Engineering)”是指“對物理、化學等純科學進行實際應用的藝術或科學”，組合起來的意思就是：社會工程學是一門藝術或者科學，它有技巧地誘導人們在生活中的某些方面采取某種行動。社會工程學定義Hadnagy：社會工程是一種操縱他人采取特定行動的行為，該行動不一定符合“目標人”的最佳利益，其結果包括獲取信息、取得訪問權或讓目標采取特定的行動。社會工程學定義更一般的定義：社會工程是一種利用人的弱點（例如人的本能反應、好奇心、信任、貪婪等）進行諸如欺騙、傷害來獲取利益的方法，簡單地說就是“誘騙”。社會工程學定義從網絡攻防的角度看：社會工程是操縱他人采取特定行動或者泄露機密信息的行為，該行動不一定符合“目標人”的最佳利益，其結果包括獲取信息、取得訪問權或讓目標采取特定的行動。社會工程學意義在當前網絡安全防護技術越來越強，單位或組織越來越重視網絡安全防護系統(tǒng)建設的今天，純技術的網絡攻擊的難度越來越大，借助社會工程學實施網絡滲透攻擊成為了一種主流的網絡攻擊形態(tài)。APT攻擊過程中，就常常采用社會工程學的方法來實現(xiàn)攻擊目的。社會工程學/s/V0LwIpNNTjSCE2PtcT1hZw社會工程學社會工程學威瑞森的報告顯示，94%的惡意軟件通過電子郵件傳播，排名第一的社會工程攻擊是網絡釣魚社會工程學社會工程學內容提綱社會工程學常用技術2社工庫與社會工程學工具3防范社會工程學4概述1社會工程主要是針對人的攻擊，因此，攻擊者或社會工程師（社會工程學的實施者）必須掌握心理學、人際關系學和行為學等知識和技能，以便收集和掌握實施入侵所需要的相關資料與信息、開展具體的攻擊行動，常見形式有偽裝、引誘、恐嚇、說服、反向社會工程等。常用技術偽裝成管理員或熟悉的人向用戶發(fā)送信息、打電話，或偽造知名Web站點（釣魚網站），如銀行、政府網站，讓用戶誤以為是真的網站而去訪問等，進而達到攻擊的目的一、偽裝偽裝的原則或技巧盡可能了解要偽裝的目標加入個人愛好會提高成功率練習方言或表達方式；不要低估打電話的作用偽裝越簡單，成功率越高偽裝必須自然為目標提供合理的結論或下一步工作安排等一、偽裝偽裝網站一、偽裝偽裝網站URL中常見字符字母o與數(shù)字0一、偽裝偽裝網站URL中常見字符將英文字母a（o）替換為西里爾文（Cyrillic）字母а（о）或俄文字母а（о）一、偽裝偽裝網站URL中常見字符將英文字母a（o）替換為西里爾文（Cyrillic）字母а（о）或俄文字母а（о）一、偽裝一、偽裝偽裝網站URL中常見字符將大寫英文字母I替換為數(shù)字1將大寫Y替換成大寫字母V或反過來2020非冠疫情期間出現(xiàn)的：用cclc來偽裝（美國）疾控中心（centerfordiseasecontrol）的簡稱cdc，主要用于偽裝域名，如用偽裝成一、偽裝利用同一單詞不同形式來迷惑受害者。2018年，安全研究人員在Python軟件庫中發(fā)現(xiàn)了一個名為“Colourama”的盜竊加密貨幣的惡意Python軟件包，它仿冒的是Python軟件庫中下載排名前20的軟件包“Colorama”。惡意包名稱中的“Colour”與被仿冒的Python包名稱中的“Color”的意思是一樣的，只差一個字母，很具有迷惑性。盡管該惡意Python包上線不久就被發(fā)現(xiàn)，但在被發(fā)現(xiàn)之前還是有151個用戶已經下載了該軟件包一、偽裝用相近單詞（清華校內2021年底的一次測試）一、偽裝用相近單詞一、偽裝偽裝網站URL中常見字符用ASCII碼代替可見字符一、偽裝通過中獎、免費贈送禮品、有誘惑力的資料等內容，引誘用戶打開網頁、郵件及附件、短信里的網絡鏈接等手段，實現(xiàn)木馬的傳播，進而控制用戶的計算機；通過有獎調查、比賽投票、贈送禮品等手段，要求填寫賬號、密碼、聯(lián)系方式等信息，來收集用戶的個人信息等二、引誘大到APT組織，小到社會上一些小黑客、不法分子，大量利用熱點事件作為誘餌文檔來實施社會工程攻擊，如南海問題、中美貿易戰(zhàn)、重大流行疾病、重大選舉、戰(zhàn)爭等二、引誘二、引誘二、引誘2020.2：APT組織利用肺炎疫情相關題材制作的釣魚郵件二、引誘2020.2：APT組織利用肺炎疫情相關題材制作的釣魚郵件二、引誘2020.7：APT組織利用肺炎疫情相關題材制作的釣魚郵件二、引誘2020.12：節(jié)日釣魚郵件二、引誘2020.12：節(jié)日釣魚郵件二、引誘清華段海新老師的一次經歷二、引誘利用人們對安全、漏洞、病毒、木馬、黑客等內容的敏感性，以權威機構或系統(tǒng)管理員的面目出現(xiàn)，散布諸如安全警告、系統(tǒng)風險之類的信息，使用危言聳聽的伎倆恐嚇欺騙計算機用戶，下載安全防護軟件、漏洞補丁，或執(zhí)行系統(tǒng)升級、更改口令等，進而控制用戶的計算機或網絡應用賬戶等三、恐嚇2016.3.19：希拉里競選團隊主席JohnPodesta收到的釣魚郵件三、恐嚇假冒網易郵箱管理員的身份給用戶發(fā)送的安全告警郵件三、恐嚇假冒網易郵箱管理員的身份給用戶發(fā)送的安全告警郵件三、恐嚇假冒網易郵箱管理員的身份給用戶發(fā)送的安全告警郵件三、恐嚇假冒郵件服務器軟件開發(fā)團隊三、恐嚇讓他人以你所期望的方式去行動、反應、思考或建立信仰的過程，其中包含了情感和信仰等因素，同時需要熟悉心理學知識。要想成功地實現(xiàn)說服的目標，應遵循5項基本原則：目標明確；構建共識；洞悉并融入環(huán)境；靈活應變；內省并保持理性，不受自己的情感的影響四、說服安全專家Hadnagy在《社會工程》一書中給出的“主題樂園”案例四、說服反向社會工程（ReverseSocialEngineering）：攻擊者通過技術或者非技術的手段給網絡或者計算機應用制造“問題”，使其目標人員深信不疑。然后，誘使工作人員或者網絡管理人員透露或者泄漏攻擊者需要的信息，甚至執(zhí)行攻擊者希望的攻擊操作，如下載帶有病毒的文件，重啟服務等五、反向社會工程反向社會工程步驟：破壞(Sabotage)。對目標系統(tǒng)實施初步攻擊并獲得基本權限后，留下錯誤信息，使用戶注意到信息，并嘗試獲得幫助。推銷(Marketing)。利用推銷術，確保用戶能夠向攻擊者求助，比如冒充是系統(tǒng)維護公司，或者在錯誤信息里留下求助電話號碼等。支持(Support)。攻擊者幫助用戶解決系統(tǒng)問題，在用戶沒有察覺的情況下，進一步獲得所需信息或執(zhí)行想要的操作等五、反向社會工程案例一：過于自信的CEO案例分析案例二：讓用戶安裝木馬案例分析案例三：已知某公司一高管的QQ號，要求獲得其QQ密碼和郵箱密碼案例分析案例三（續(xù)）調研了解對方的企業(yè)文化公司背景，又注冊了一堆目標公司相關行業(yè)的一些論壇調查這家公司目標公司大概運營了4年之久，有不小的行業(yè)知名度滲透了一家目標同類型公司。目的是挑個簡單的先進去找些行業(yè)術語，規(guī)范文檔試探攻擊該公司網站，失??！案例三（續(xù)）攻擊步驟：以投資關系接觸目標用戶利用利益誘惑方式深入了解目標“競爭”心理社會工程學攻擊實施后續(xù)滲透及資料竊取案例三（續(xù)）周二上午10:00加對方QQ為好友E:你好,在論壇看到你發(fā)布你們公司一些在做的項目,想了解下,你這會方便么?T:你是說哪個項目?你想了解什么?E:htt://abbs/就是這個項目我想了解下你們的進度，想知道什么時間可以測試產品。T:目前已經可以測試了,你是那里的？做什么的？E:能先讓我測試下么？T:可以測試,不過你要提供你的信息給我。E:你是員工？還是PM？還是？？?T:PM？你到底是做什么的？案例三（續(xù)）E:呵呵，不好意思還沒自報家門我的電子名片：張**（總經理助理）tel:150XXX333

河南省*****房地產開發(fā)集團email:E@91T:房地產?和我們沒什么關系。你怎么對我們項目有興趣？E:集團預計在年底前要擴展三個新的子公司其中包含****的業(yè)務但是因為一時間無法迅速構建團隊，所以董事會想要以投資方式收購成熟的團隊和技術。T:大概明白了,不過我這會兒忙,你有什么事跟我助理談吧.E:沒關系等你有空了我再找你詳細聊吧你的名片？T:宋****(PM)tel:13323XX4

上海****信息科技有限公司email:T@91案例三（續(xù)）E:不好意思,我還需要問一個問題,你們公司股份制你是技術入股?T:嗯!有問題？E:只是先打聽下,我們本來是預計以不超過300萬收購一個團隊,如果你有信心帶出你現(xiàn)在的團隊并能做好管理那么你可以脫離你的公司,這樣豈不是更好?T:這個問題我沒考慮過你還是先測試下產品E:怎么測試?T:目前只能我們內部測試,你想看看的話我為你演示吧(有錢就能有好的服務,沒有白眼,沒有我在忙的推延)E:現(xiàn)在嗎?我這會兒不是很方便,等下有個會,晚上可以嗎?(換我擺譜)案例三（續(xù)）T:幾點?E:9點可以么？(說晚上9點是想知道他們所謂內部測試是不是真實內部測試,呵呵)T:……那時已經下班了E:那你說個時間吧T:好吧那就9點吧(看來晚上9點也能演示,那不像是純內部的測試,或者…VPN?)E:嗯好的那我先出去了T:再見晚上9點20我上網了…讓他等了一會兒測試他的耐心和脾氣呵呵T:你好!來了請聯(lián)系我T:你好!來了么？E:不好意思!堵車剛到家案例三（續(xù)）E:怎么看到測試？他發(fā)了個QQ遠程協(xié)助…簡直…太幸運了呵呵這樣我了解的就更多啦只裝了個咖啡防病毒下面兩個網卡3個網卡圖標…比較幸運（因為很有可能有一個是VPN）看了很多操作演示然后我就開始…繼續(xù)E:很不錯的,這個是你主要開發(fā)?T:是的E:你們負責開發(fā)的一共多少人？T:大概30人做研發(fā)的E:你個人有沒有考慮過獨立出來呢?如果你能帶團隊一起這樣考慮下吧?T:沒有考慮過案例三（續(xù)）E:那如果我明天匯報后有關投資的問題應該聯(lián)系誰?T:這個你要聯(lián)系市場部的經理也就是我們副總****E:哦我知道了

(看來這做技術的的確很專注…不吃葷腥…套不上他…套自己吧)E:如果是和你公司談的話有點…T:怎么？E:這筆投資并不小的你是知道了如果通過公司對你對我都沒有利益嘛…T:這個我不懂,你跟他談就好了.E:這樣吧你能不能先側面幫我打聽下看有沒有這方面合作的意向可以嗎？T:這沒問題明天我問下給你答復我要下了E:嗯好明天聯(lián)系案例三（續(xù)）第二天他告訴我他們那個副總包括老總也很感興趣…而且他們老總給我來了一個電話表示說我個人方面的利益可以放心邀請我去上海.我當然不能過去,不過我也跟他們老總談了我很感興趣非常感興趣我們老板也說沒問題下周我們就去上海具體談判然后下周T就一直催我,我一直推說我這里有點小問題后來在他們老總也跟我聯(lián)系問我什么時間過去我告訴他現(xiàn)在有另外一家和你們做同樣產品的公司聯(lián)系我們到我們這里做了演示不過不是我聯(lián)系的是公司的一個市場部經理牽頭的所以投資的事情暫緩。我并在通話中透漏了我的私欲“放心吧我不會讓那經理得逞的!”也給了對方老總充分的安慰”如果有什么動態(tài)我會即時的通知你,希望*總能配合我”案例三（續(xù)）兩天后的早上，我撥了他老總的電話告訴他對方公司的演示我已經看到了。告訴他們希望讓T能配合一下找找那家公司產品上的不足…這樣我有理由說服我的老板，T的老總說沒問題，上班就讓T聯(lián)系我.（我繞過了T讓他的老總告訴他這樣就更可信了,借刀殺人說的就這招吧!）這里我把之前滲透的那家公司的網站根目錄放置了一個名為/pdemo.rar的文件包里面塞了一些文檔放了一個demo.exe文件案例三（續(xù)）下面的事情…就不用再說了整個競爭心理社會工程學攻擊實施完畢后續(xù)的日子里，我告訴T讓他給我做一個文檔詳細關于兩個產品的比較的文檔這樣我有充足的時間看他機器上的文件…我截獲了郵箱的密碼，從郵箱找到了VPN帳戶、辦公系統(tǒng)帳戶，并拿到了VPN后的兩臺服務器并安裝嗅探工具。到最后,就是幾乎所有他們公司服務器。當然還有我想要的一些源代碼…案例四-2020Twitter被黑案例四-2020Twitter被黑案例四-2020Twitter被黑案例四-2020Twitter被黑案例四-2020Twitter被黑案例四-2020Twitter被黑2020年下半年至2021年初，谷歌威脅分析小組發(fā)現(xiàn)并確定了一個持續(xù)針對網絡和漏洞安全研究人員的攻擊活動。谷歌認為這項攻擊的發(fā)起者來自朝鮮網軍。需要注意的是，這起攻擊活動成立的本身，在于實施社會工程學的人員精通漏洞分析和研究，在此基礎上才能成功攻擊多個漏洞研究人員。案例五-漏洞挖掘人員成為目標案例五-漏洞挖掘人員成為目標實戰(zhàn)攻防演習中的釣魚攻擊經驗教訓站在系統(tǒng)或安全管理員的立場上，不要讓“人之間的關系”問題介入到你的信息安全鏈路之中，以至于讓你的努力前功盡棄。站在攻擊者的立場上，當系統(tǒng)管理員的“工作鏈”上存放有你所需要的數(shù)據(jù)時，千萬不要讓他“擺脫”自身的脆弱環(huán)節(jié)，要想方設法地利用這個脆弱性環(huán)節(jié)案例分析楊義先《黑客心理學--社會工程學原理》心理學的重要性內容提綱社會工程學常用技術2社工庫與社會工程學工具3防范社會工程學4概述1社會工程攻擊所需要的信息稱為“社工信息”，這些信息包羅萬象，如個人的身份信息（姓名、身份證號、生日、住址、工作單位、聯(lián)系電話、電子郵箱等），在各個網站上的賬號、密碼、分享的照片等，信用卡記錄、住宿記錄、訂票記錄、通信記錄、短信內容、各種社交軟件的聊天，網絡地址信息、域名信息等。保存這些信息的結構化數(shù)據(jù)庫稱為“社會工程數(shù)據(jù)庫（SocialEngineeringDatabase）”，簡稱為“社工庫”。社工庫在進行社會工程攻擊時，經常需要制作釣魚網站，制作并發(fā)送釣魚郵件、誘餌文檔，偽造短信等，這就需要借助社會工程攻擊工具來完成社會工程學工具