渗透测试-社会工程学与APT攻击

社会工程学与APT攻击

前言

一、什么是社会工程学与APT攻击

社会工程学是一种通过人际交流的方式获得信息的非技术渗透手段。不幸的是， 这种手段有效， 而且效率很高。 事实上，社会工程学已是企业安全最大的威胁之一。下面就为大家总结攻击者使用的6种最有效的社会工程技术，并为大家提供每种手段的工作原理及实现方法，以及用来检测和响应社会工程破坏者的技术、方法和策略，有效地实现自身安全防护。

APT攻击即高级可持续威胁攻击,也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动。

APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

APT攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御，通常是通过Web或电子邮件传递，利用应用程序或操作系统的漏洞，利用传统的网络保护机制无法提供统一的防御。除了使用多种途径，高级定向攻击还采用多个阶段穿透一个网络，然后提取有价值的信息，这使得它的攻击更不容易被发现。

二、社会工程学与APT攻击常用攻击方式

1. 社会工程学与APT攻击

（1）社会工程学
技术一：启用宏

网络攻击者正在使用社交工程学手段来诱骗企业用户启用宏，以便宏恶意软件能够正常运行。在针对乌克兰关键基础设施的网络攻击中，Microsoft Office文档中出现了虚假的对话框，告诉用户启用宏来正确显示在Microsoft产品的最新版本中创建的内容。

攻击者用俄语编辑了对话文本并让对话看起来像是出自Microsoft。当用户遵循要求并启用宏时，该文件的恶意软件就会感染用户设备。CyberX工业网络安全副总裁Phil Neray表示，这种网络钓鱼策略使用了一个有趣的社会工程技术来解决大多数用户关闭宏的事实。

技术二：性勒索

在称为“catphishing”的攻击活动中，网络犯罪分子会伪装成受害者的“潜在爱慕者”，并诱使受害者分享私密的视频和照片，随后进行敲诈勒索行为。Avecto的高级安全工程师James Maude表示：

这些攻击手段已经开始针对企业用户，通过使用社交媒体瞄准企业的高层人员，随后通过性勒索手段向他们索要很多企业的敏感数据。

技术三：培养亲和度的社会工程手段

亲和社会工程是指攻击者可以和目标之间基于共同的兴趣或某种相互辨认的方式进行联系。一个经验丰富的社会工程学黑客会精于读懂他人肢体语言并加以利用。他可能和你同时出现一个音乐会上，和你一样对某个节段异常欣赏，和你交流时总能给于适当的反馈，你感觉遇到知己，你和他之间开始建立一个双向开放的纽带，慢慢地他就开始影响你，向你套取一些信息（最初是无害的信息），随后要求更多的敏感信息。一旦掌握一定程度的信息，他们就会进行勒索行为。

技术四：虚假招聘信息

因为有很多猎头都在寻找合适的应聘者，所以如果攻击者提供诱人的职位薪资来获取应聘者的信息，这一点也不会引起别人的怀疑。

Johnston表示：

这种手段可能不会直接泄漏计算机密码，但是攻击者可以获取足够的数据来确定谁是你公司的密码管理者。攻击者也可以威胁员工称‘已经告诉老板他们计划离开公司，并已经共享了机密信息’，以便利用受害者。

技术五：伪装成新人打入内部

如果希望非常确定地获取公司信息，黑客还可以专门去应聘，从而成为真正的自己人。这也是每个新员工应聘都必须经过彻底审查阶段的原因之一。当然，还是有些黑客可以瞒天过海，所以新员工的环境也应有所限制，这听起来有些严酷，但必须给新员工一段时间来证明，他们对宝贵的公司核心资产来说是值得信任的。即使如此，优秀的黑客都通晓这套工作流程，在完全获得信任后才展开攻击。

技术六：社会工程机器人（bot）

PerimeterX的首席研究员Inbar Raz说：

对于高度复杂、有害的社会工程活动通常由恶意机器人负责，机器人通过感染具有恶意扩展的Web浏览器，能够劫持网络对话，并使用保存在浏览器中的社交网络凭证将受感染的邮件发送给朋友。

Raz解释称，攻击者使用这种手段来欺骗受害者的朋友点击邮件中的下载链接并下载安装恶意软件，这样可以使攻击者成功构建出包括他们电脑在内的大型僵尸网络。

（2）APT攻击
整个攻击生命周期的七个阶段如下：
第一阶段：扫描探测
在APT攻击中，攻击者会花几个月甚至更长的时间对"目标"网络进行踩点，针对性地进行信息收集，目标网络环境探测，线上服务器分布情况，应用程序的弱点分析，了解业务状况，员工信息等等。

第二阶段：工具投送
在多数情况下，攻击者会向目标公司的员工发送邮件，诱骗其打开恶意附件，或单击一个经过伪造的恶意URL，希望利用常见软件(如Java或微软的办公软件)的0day漏洞，投送其恶意代码。一旦到位，恶意软件可能会复制自己，用微妙的改变使每个实例都看起来不一样，并伪装自己，以躲避扫描。有些会关闭防病毒扫描引擎，经过清理后重新安装，或潜伏数天或数周。恶意代码也能被携带在笔记本电脑、USB设备里，或者通过基于云的文件共享来感染一台主机，并在连接到网络时横向传播。

第三阶段：漏洞利用
利用漏洞，达到攻击的目的。攻击者通过投送恶意代码，并利用目标企业使用的软件中的漏洞执行自身。而如果漏洞利用成功的话，你的系统将受到感染。普通用户系统忘记打补丁是很常见的，所以他们很容易受到已知和未知的漏洞利用攻击。一般来说，通过使用零日攻击和社会工程技术，即使最新的主机也可以被感染，特别是当这个系统脱离企业网络后。

第四阶段：木马植入
随着漏洞利用的成功，更多的恶意软件的可执行文件——击键记录器、木马后门、密码破解和文件采集程序被下载和安装。这意味着，犯罪分子现在已经建成了进入系统的长期控制机制。

第五阶段：远程控制
一旦恶意软件安装，攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制工具。这些远程控制工具是以反向连接模式建立的，其目的就是允许从外部控制员工电脑或服务器，即这些工具从位于中心的命令和控制服务器接受命令，然后执行命令，而不是远程得到命令。这种连接方法使其更难以检测，因为员工的机器是主动与命令和控制服务器通信而不是相反。

第六阶段：横向渗透
一般来说，攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重要资产的服务器，因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透，以攻陷更多的pc和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。

第七阶段：目标行动
也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后，APT攻击者往往要将数据收集到一个文档中，然后压缩并加密该文档。此操作可以使其隐藏内容，防止遭受深度的数据包检查和DLP技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。大多数公司都没有针对这些恶意传输和目的地分析出站流量。那些使用工具监控出站传输的组织也只是寻找"已知的"恶意地址和受到严格监管的数据。

2.相应的防御方法

（1）社会工程学的六种解决方法
防御有道：针对六种社会工程技术的防御、检测和响应术

在乌克兰的攻击案例中，如果不允许用户启用宏可能攻击不会带来如此大的影响。Neray表示，企业可以使用深度包检测技术（DPI）、行为分析以及威胁情报来监控网络层的异常行为，例如乌克兰攻击案例中展示的带宏病毒的Microsoft Office文档。企业可以使用下一代终端安全技术来对端点设备执行类似的功能，这些技术将有助于减轻许多社会工程攻击。

Neray进一步补充道，企业应该强制在网络和端点上应用网络分段扫描、多因素身份验证以及攻击后（post-attack）取证等方法，以阻止横向感染，限制由于被盗凭证导致的损失，并了解违规行为的范围，以确保删除所有相关的恶意软件。

而针对性勒索手段，Maude表示，企业应该将最低权限零信任（zero trust）和行为检测相结合来解决性勒索问题，并监视攻击行为和限制泄漏凭证滥用等。如果网络犯罪分子攻击了企业员工并对其进行性勒索，而勒索的信息极有可能是企业敏感数据。这时候，法律、人力资源以及执法部门就需要发挥作用了，培养员工防范意识和应对技巧对降低损失有非常明显的作用。

针对伪装新人的攻击手段，Johnston说，要检测以工作的幌子混入公司的间谍，可以考虑那些从未休假甚至是病假的员工，因为他们或许会担心自己离开公司后，他们的活动会被检测到。

针对恶意机器人的攻击手段，可以使用诸如异常行为监控产品和一些防病毒和反恶意软件等工具，能够有效地检测出恶意机器人行为以及其对浏览器做出的改变。企业还可以使用威胁情报和IP地址信任信息来检测一些较弱的机器人（bot）。

终极大招还是非员工培训莫属！随着社会工程手段不断更新，企业也需要相应地更新员工培训内容，以了解犯罪分子使用社会工程手段的工作原理。Johnston说，

企业还需要单独而具体地组织社会工程意识培训，将受害者、攻击者等所有角色通过直观（视频或录像）的方式呈现给大家。展示社会工程如何瞄准每个人，强调任何人都可能受到攻击，并为大家提供保护自己的工具。

通过将安全防御策略和培训相结合，企业可以抵制新旧各种形式的社会工程手段，最重要的是，企业和员工必须切实落实安全防护工作，莫留给攻击者可乘之机。
（2）APT攻击防御方法
1.使用威胁情报
这包括APT操作者的最新信息；从分析恶意软件获取的威胁情报；已知的C2网站；已知的不良域名、电子邮件地址、恶意电子邮件附件、电子邮件主题行；以及恶意链接和网站。威胁情报在进行商业销售，并由行业网络安全组共享。企业必须确保情报的相关性和及时性。威胁情报被用来建立“绊网”来提醒你网络中的活动。

2.建立强大的出口规则
除网络流量（必须通过代理服务器）外，阻止企业的所有出站流量，阻止所有数据共享和未分类网站。阻止SSH、FTP、Telnet或其他端口和协议离开网络。这可以打破恶意软件到C2主机的通信信道，阻止未经授权的数据渗出网络。

3.收集强大的日志分析。
企业应该收集和分析对关键网络和主机的详细日志记录以检查异常行为。日志应保留一段时间以便进行调查。还应该建立与威胁情报匹配的警报。

4.聘请安全分析师。
安全分析师的作用是配合威胁情报、日志分析以及提醒对APT的积极防御。这个职位的关键是经验

总结

本次实验简单介绍了社会工程学与APT攻击的原理和攻击方式，以及相应的防御方法。