热搜
您的位置:首页 >> 体育

物理攻击那些年我们忽略掉的一些社会工程学

2019年01月29日 栏目:体育

笔者自己也不太明白,也没资格给某种手法进行命名,暂且把这种非主流的社工和渗透攻击结合的方式成为物理攻击吧。首先,做个小小的声明:文章里提

笔者自己也不太明白,也没资格给某种手法进行命名,暂且把这种非主流的社工和渗透攻击结合的方式成为物理攻击吧。

首先,做个小小的声明:文章里提到这个朋友虽然从事相关工作,但是却是正义的,也很乐于我将他知道公布出来,即便是以爆料的形式。再者,文正中提到的案例确实是真实的,但请个文看官切勿对号入座,保留这层窗户纸,所有案例都已经经过法律途径解决了,大家不要延伸猜想,呵呵一下就行了`

某天

回到了老家,百无聊赖约出了一位好友,共赴排挡,大家都不怎么会喝酒,只能是靠聊天打发时间,便有了下文,暂称他WSR吧。

笔者:近社工挺流行的,真是防不胜防哈~

WSR:还好吧,不过上的社工案例好像都还基于调查和侦察类型,不过真正发挥到的还是有很多没公开出来的,或者并不普遍的,不知道不了解才是可怕的。

笔者:说的太玄乎了,你肯定又参与了什么吧?

WSR:很多时候,人是漏洞百出的,对人下手的话,那你就得真正面对人,不是面对电脑和几个数据库~而这方面,国内一般都被商业间谍类型的黑客掌握并运用着~~~

笔者:那讨论讨论呗!交流交流案例!

案例1

有这样一群商业黑客,可能不能理解为传统的黑客定义了,因为他们做的事情确实有些匪夷所思,下文简称为B组织吧。

这次B组织的目标是国内数一数二的络公司,旗下业务众多,规章制度健全,员工素质及文化成都普遍很高,管理和运营系统中的数据量异常庞大。

显然这次需要B组织进驻内才能完成任务,但是正面渗透入侵的希望十分渺茫,在系统的渗透和检测之后,他们选择了 物理攻击的途径。

B组织经过调研,了解到了该公司负责开发和运维的部门办公场所,并没有乔装打扮,只是带了个鸭舌帽背着个大点的包就堂而皇之的进入了该写字楼(难道这样比较像外卖和快递?)接着,他没有进入任何办公场所,只是在走廊尽头的大垃圾桶收集了点垃圾,塞到包里并立刻离开了,他这样每天不同的时间段来一次,持续了一周,两次,大楼保安居然还跟他打了招呼。

一周后,B组织整理了这些垃圾,是的,有很多我们意想不到的事情和东西,但是,他们真的在垃圾筒里,也许我们本能认为他们是脏的,所以不予理会,但是对于B组织,它们都是宝贝,比如:便签纸,草稿,超市小票,快递单,香烟盒,呃,居然还有一张折弯掉的3G流量卡。好吧,东西太多了。B组织想了一下,自信的丢掉了别的东西,拿出那张快递单,记下了信息和,然后,B组织的一位女生拨通了:大概的意思是一家店的促销调研,完成调研后将给他寄去优惠商品列表,可供他选择。这个Mm的声音很好听,很热情,很诱惑,在这位It男的心里出现了这样的画面:

嗯,其实,他并不知道,对面的,可能是这样的:

好的,不管了,接下来,B组织的快递哥再次登场,带着快递送到了该公司,这个公司安保还是不错的,并没有让他进去,而是让他在前台等待IT男的到来,不过B组织的快递哥还是瞄到了前台电脑上装的企业版 赛门铁克SEP杀软。嗯,交完快递后,B组织的快递哥立马赶回总部号召大家对木马进行针对赛门铁克Sep的免杀。大家应该好奇那个传单列表上都是些什么优惠~恩~就比如下图,只是价格写的是一元两元左右而已。

我想大家应该知道他们想干嘛了,后来在客服Mm再次去的催促下,这位It男矜持的挑了这样一个U盘:

为了防止对方屏蔽aotorun,他们把木马植入了一个u盘加密的工具里,然后写了个牛X的使用文档和他一起放在了u盘的根目录。

然后依然是按照快递单寄过去:

也许,大家根本就不会用u盘赠送的渣渣加密软件,但是好奇心会让你打开下,看看界面,删除掉。这是心理学上的,笔者也不懂,大概意思就是,白送你一个东西,你也许瞧不上,但不会看都不看就扔掉,但在计算机里,看,意味着什么?双击和运行~

毫无悬念,两天后,这位IT男的机器在B组织的远控界面上华丽登场,嗯,安全规章履行的不错,是个人笔记本,并不是办公内机器,这让B组织有些头疼,不过,他们通过感染一些笔记本上的工作文档和程序后,木马被IT男在加班后,顺利摆渡到了工作机器上。至此,该公司内沦陷,后来还有很多的意向书,会议记录,ppt,密码记录本,等等全部收入B组织囊中,目标任务完成。但是这个过程中还是有做的不足的地方,导致B组织相关人员被抓~

案例2

这次B组织的目标是某家经融企业,搞定了站和web服务器,没有什么收获,原因是站是外包的(反而安全了?),邮箱是腾讯企业邮箱(腾讯安全响应平台基本没收了一些邮箱漏洞和跨站),正面走不通,B组织再次想到了 物理攻击。

计划1本来是这样的,他们打算提供安防设备免费安装试用服务给这家公司,通过摄像头监控和图片发送来达到监控这家公司,高精度的摄像头说不定能监控到员工输入密码! 呃~

怎么感觉像美国大片呢? 但是,这些其实都很简单,比如下图,搜索针孔摄像机肯定不行~

如果你搜索 监控 mini 无线 会怎么样呢?

几十到几千不等,但是这个计划流产了,他们低估了这家公司,人家是做金融的,安防可是花了大家钱的,而且是正规公司做的,不允许第三方介入的~(但也提醒我们,如果这种正规公司出卖你的话,你将损失惨重)。于是计划1流产了~

计划2

这次B组织选择不再露面,而是在官收集一批邮箱,然后伪造了邮件,邮件经过邮件头文件伪造可以改成任意邮箱,于是,这些攻击邮件是京东发的。大概意思是,新品牌安卓平板电脑提前线下体验,暂不在官发售,只给用户提前体验。这样写好处有三个,,这种平板肯定京东官没有,不然露出马脚,第二,体现我们是提前用户试用,第三,买山寨货,便宜呀!!!(B组织可没指望回收回来~)比如下面这些:

嗯,B组织的人们开始为这部山寨安卓平板植入安卓木马了,大家可能怀疑给安卓植入木马和多权限多功能控制有多难~那么笔者给大家提供一个 李毅吧 的帖子,请看3漏洞的视屏,赛门铁克安全专家演示的~链接是:

接着,就是等待批量发送的攻击邮件回复了,居然有40%的人都回复申请了试用,- -!搞金融的连平板都买不起么,还用的着试用?看来国人对免费的都不拒绝~总不能都给吧?那样太假,只给一个,又怕万一别人不用。所以,针对邮箱和官的团队简介对比了下职位,选了一个高层领导和一个人事部的主管。把种植木马的机器寄了过去。这样两者没什么交集,而且这两种人有时间上班玩玩东西。

三天后,两个肉鸡都上线了,分别连上的wifi,一个是公司的,一个却是家里自家用的,公司的那个进行了下嗅探,得知聊天工具是rtx,没什么戏,家里那个肉鸡呢,虽然没什么用,但是人家登陆了,邮箱,等等社交工具,当然,这些帐号密码B组织照单全收了。

剩下来,以这个员工的名义和邮箱发了一些邮件给同事,收集了跟多信息,准备绑马群发给同事。但是后来,这个员工居然是把企业邮箱(腾讯)和邮箱绑定的,呃,于是导出了该邮箱附件夹,机密邮件和类似招标文档 会议记录 周报什么的,纷纷拿下,提前结束了战斗。

聊了这么多,笔者发现,很多电影中才有的情节,确实发生了,感到很费解。和朋友聊了下,豁然开朗。这些技术并不高深,甚至成本低廉。只是有些人专注于技术,有些人专注心计。这两种人走到一起,事情变得简单了。而所谓B组织在行业内也是比比皆是,只是他们选择了与黑客这个名词不同的道路而已。

广州废旧物资回收公司
防雨篷布直销
片碱厂家