前   言

社會(huì)工程包括一系列廣泛的活動(dòng)，這些活動(dòng)試圖利用人為錯(cuò)誤或人為行為，以獲取信息或服務(wù)。它使用各種形式的操作來(lái)誘騙受害者犯錯(cuò)或交出敏感、機(jī)密信息。在網(wǎng)絡(luò)安全領(lǐng)域，社會(huì)工程誘使用戶(hù)打開(kāi)文件/電子郵件、訪(fǎng)問(wèn)網(wǎng)站或授權(quán)未經(jīng)授權(quán)的人訪(fǎng)問(wèn)系統(tǒng)或服務(wù)。

本文為上篇，從三個(gè)方面對(duì)社會(huì)工程進(jìn)行簡(jiǎn)要介紹，主要包括社會(huì)工程趨勢(shì)、社會(huì)工程攻擊實(shí)施設(shè)備和社會(huì)工程攻擊實(shí)例，期望可以使讀者對(duì)社會(huì)工程有初步的了解。

社會(huì)工程趨勢(shì)

社會(huì)工程，特別是網(wǎng)絡(luò)釣魚(yú)仍然是攻擊者進(jìn)行惡意活動(dòng)的流行技術(shù)。根據(jù)Verizon數(shù)據(jù)泄露調(diào)查報(bào)告 (Data Breach Investigations Report，DBIR)，大約82%的數(shù)據(jù)泄露涉及人為因素，歐洲、中東和非洲不少于60%的泄露包括社會(huì)工程成分。犯罪分子對(duì)社會(huì)工程感興趣的潛在原因是顯而易見(jiàn)的。電子郵件是他們最容易聯(lián)系到潛在受害者的地方。盡管開(kāi)展了提高認(rèn)識(shí)的活動(dòng)和練習(xí)，用戶(hù)還是會(huì)上當(dāng)受騙。此外，根據(jù)DBIR的說(shuō)法，攻擊者繼續(xù)使用竊取的憑證，通過(guò)公司電子郵件獲取目標(biāo)的更多詳細(xì)信息。

Europol和FBI報(bào)告稱(chēng)，網(wǎng)絡(luò)釣魚(yú)和社交工程仍然是支付欺詐的主要媒介，其數(shù)量和復(fù)雜性都在增加。波耐蒙研究所(Ponemon Institute)報(bào)告稱(chēng)，2021年網(wǎng)絡(luò)釣魚(yú)的成本是2015年的三倍多，解決這些攻擊最耗時(shí)的任務(wù)是清理和修復(fù)受感染系統(tǒng)以及進(jìn)行取證調(diào)查。

值得注意的是，2021年，曼迪昂特觀(guān)察到的通過(guò)網(wǎng)絡(luò)釣魚(yú)發(fā)起的入侵要少得多。當(dāng)曼迪昂特發(fā)現(xiàn)最初的漏洞時(shí)，2021年網(wǎng)絡(luò)釣魚(yú)僅占入侵的11%，而2020年這一比例為23%。這些數(shù)字是基于曼迪昂特的調(diào)查，而不是基于全球惡意活動(dòng)的遙測(cè)。

一般來(lái)說(shuō)，社會(huì)工程的目標(biāo)以及對(duì)受害者的影響是獲得信息/服務(wù)或獲得關(guān)于特定主題的知識(shí)，但也用于經(jīng)濟(jì)利潤(rùn)。因此，金融機(jī)構(gòu)是被網(wǎng)絡(luò)釣魚(yú)者冒充的最主要組織之一。除金融行業(yè)外，犯罪分子的社會(huì)工程活動(dòng)主要圍繞科技行業(yè)展開(kāi)，微軟、蘋(píng)果和谷歌等品牌是最受冒充的目標(biāo)。同時(shí)社會(huì)工程活動(dòng)也會(huì)模仿遠(yuǎn)程工作者使用的流行云服務(wù)、流媒體或媒體提供商使用的平臺(tái)。

社會(huì)工程攻擊實(shí)施的服務(wù)

創(chuàng)建釣魚(yú)網(wǎng)站并為社會(huì)工程活動(dòng)設(shè)置底層基礎(chǔ)設(shè)施可能是一項(xiàng)乏味的工作。因此，犯罪分子越來(lái)越多地轉(zhuǎn)向網(wǎng)絡(luò)釣魚(yú)工具包提供的現(xiàn)成材料，或者利用“網(wǎng)絡(luò)釣魚(yú)即服務(wù)”的服務(wù)模式。

IBM報(bào)告稱(chēng)，網(wǎng)絡(luò)釣魚(yú)工具包的部署壽命通常很短，幾乎三分之一的部署工具包的使用時(shí)間不超過(guò)一天。根據(jù)Microsoft的說(shuō)法，現(xiàn)代網(wǎng)絡(luò)釣魚(yú)工具已經(jīng)足夠復(fù)雜，可以通過(guò)使用拼寫(xiě)、語(yǔ)法和圖像來(lái)偽裝成合法的內(nèi)容。在同一份報(bào)告中，微軟指出，使用這些工具包的歹徒也可以被愚弄。一些工具包包含“附加”功能，不僅可以將獲得的憑證發(fā)送給釣魚(yú)者，還可以發(fā)送給工具包的原始作者或復(fù)雜的中介。從受害者的角度來(lái)看，這可能會(huì)嚴(yán)重加劇事件的影響，因?yàn)楸槐I的證件現(xiàn)在會(huì)落入幾個(gè)不同的團(tuán)伙手中。

網(wǎng)絡(luò)釣魚(yú)工具包還考慮了地區(qū)差異，過(guò)濾掉不受歡迎的代理，添加混淆選項(xiàng)，并作為軟件即服務(wù)包的一部分出售:網(wǎng)絡(luò)釣魚(yú)即服務(wù)(Phishing-as-a-Service ，PhaaS)。這些服務(wù)并不新鮮，但微軟關(guān)于bulletproflink運(yùn)營(yíng)的一份報(bào)告顯示了它的復(fù)雜程度、專(zhuān)業(yè)的商業(yè)模式和自動(dòng)化的使用。PhaaS訪(fǎng)問(wèn)成本低，且部署相對(duì)容易，因此攻擊者很可能通過(guò)PhaaS基礎(chǔ)設(shè)施運(yùn)行的網(wǎng)絡(luò)釣魚(yú)活動(dòng)不會(huì)很快消失。

PhaaS的擴(kuò)展是初始訪(fǎng)問(wèn)代理的使用。這種由社會(huì)工程專(zhuān)家組成的供應(yīng)鏈?zhǔn)紫认蛞粋€(gè)組織打開(kāi)了“閘門(mén)”，之后他們將他們的訪(fǎng)問(wèn)權(quán)限(通常是憑證或安裝的遠(yuǎn)程訪(fǎng)問(wèn)工具)移交給后續(xù)參與者。正如DBIR之前所述，攻擊者可以利用這一點(diǎn)與受害者接觸或進(jìn)一步深入組織。近年來(lái)，內(nèi)部犯罪的市場(chǎng)進(jìn)一步繁榮，主要是因?yàn)榉缸锝M織不斷要求容易接觸到受害者組織。

由于威脅組織(負(fù)責(zé)初始訪(fǎng)問(wèn)的組織，惡意軟件或勒索軟件的組織，敲詐勒索的組織)的日益多樣化、專(zhuān)業(yè)化，我們很可能會(huì)看到更多的初始訪(fǎng)問(wèn)代理首先進(jìn)入受害者組織，然后將其訪(fǎng)問(wèn)用于后續(xù)犯罪活動(dòng)，或者間諜活動(dòng)。

谷歌的威脅分析組于2022年3月記錄了一場(chǎng)由初始訪(fǎng)問(wèn)代理(稱(chēng)為“異國(guó)百合”)發(fā)起的攻擊活動(dòng)。該組織利用網(wǎng)絡(luò)釣魚(yú)電子郵件利用微軟MSHTML中的一個(gè)漏洞，似乎為傳播Conti和Diavol勒索軟件的團(tuán)體提供了初始訪(fǎng)問(wèn)權(quán)限。郵件的有效負(fù)載包括使用磁盤(pán)映像(ISO)文件。但他們并不是觀(guān)察到的使用磁盤(pán)映像的唯一威脅參與者。

社會(huì)工程攻擊實(shí)例

實(shí)例1：The Dukes發(fā)起的魚(yú)叉網(wǎng)絡(luò)釣魚(yú)運(yùn)動(dòng)

ESET揭露了一個(gè)由Dukes (也被稱(chēng)為APT29、Cozy Bear或Nobelium)進(jìn)行的魚(yú)叉網(wǎng)絡(luò)釣魚(yú)活動(dòng)。在2021年10月和11月，該間諜組織以多個(gè)歐洲外交使團(tuán)和外交部為目標(biāo)，其攻擊方法類(lèi)似于他們之前針對(duì)法國(guó)和斯洛伐克組織的行動(dòng)。在最新的行動(dòng)中，黑客冒充其他政府機(jī)構(gòu)，說(shuō)服受害者打開(kāi)一個(gè)HTML文件，然后下載一個(gè)磁盤(pán)映像(ISO或VHDX)。在這個(gè)磁盤(pán)映像中，攻擊者存儲(chǔ)了更多的惡意軟件，最終獲得了一個(gè)Cobalt Strike信標(biāo)。磁盤(pán)映像是逃避防御以傳遞惡意軟件的強(qiáng)大方法。web標(biāo)記(MOTW)不能應(yīng)用于磁盤(pán)映像內(nèi)的文件，因此它逃避SmartScreen，并且不會(huì)向用戶(hù)警告潛在的不安全文件正在被打開(kāi)。

2021年7月，Dukes也進(jìn)行了類(lèi)似的活動(dòng)：在這次活動(dòng)中，攻擊者最初的電子郵件冒充比利時(shí)駐愛(ài)爾蘭大使館的工作人員，不包含惡意內(nèi)容。只有在受害者回復(fù)后，才會(huì)收到一封帶有ZIP附件的后續(xù)電子郵件，該附件中包含了一個(gè)磁盤(pán)映像(ISO)，然后導(dǎo)致了Cobalt Strike。首先發(fā)送一封非惡意電子郵件，然后再發(fā)送一封包含有效載荷的后續(xù)消息，這種方法也被主要活躍在亞洲的威脅行為者SideWinder所采用。

實(shí)例2:烏克蘭戰(zhàn)爭(zhēng)主題襲擊

美國(guó)網(wǎng)絡(luò)安全公司Proofpoint在2022年3月披露了一場(chǎng)可能由民族國(guó)家支持的網(wǎng)絡(luò)釣魚(yú)活動(dòng)，該活動(dòng)利用一名可能已被攻破的烏克蘭武裝服役人員的電子郵件帳戶(hù)，針對(duì)參與管理逃離烏克蘭難民后勤的歐洲政府人員進(jìn)行釣魚(yú)攻擊。

谷歌揭示，戰(zhàn)火紛飛的烏克蘭已成為不法之徒的網(wǎng)絡(luò)釣魚(yú)和惡意軟件活動(dòng)的溫床。其中，COLDRIVER這一神秘角色尤為引人矚目，它乃一來(lái)自俄羅斯的威脅行動(dòng)者，時(shí)而被稱(chēng)為Callisto。據(jù)稱(chēng)，COLDRIVER利用偽造證書(shū)的釣魚(yú)郵件瞄準(zhǔn)政府官員、國(guó)防人員、政治家、非政府組織、智庫(kù)和記者等群體。此外，COLDRIVER還曾對(duì)東歐多國(guó)軍隊(duì)以及一個(gè)北約卓越中心發(fā)起攻擊。

根據(jù)這項(xiàng)研究，Sekoia揭示了威脅行動(dòng)者Turla (也稱(chēng)為Snake或venous Bear)在歐洲進(jìn)行的基于網(wǎng)絡(luò)釣魚(yú)的偵察活動(dòng)。在這次活動(dòng)中，威脅行為者的目標(biāo)是波羅的海防務(wù)學(xué)院的網(wǎng)站以及奧地利聯(lián)邦經(jīng)濟(jì)商會(huì)。

考慮到已經(jīng)發(fā)生的恐怖事件，未來(lái)很可能出現(xiàn)類(lèi)似烏克蘭戰(zhàn)爭(zhēng)主題的社會(huì)工程攻擊（其他類(lèi)型的網(wǎng)絡(luò)攻擊），其目標(biāo)直指歐洲政府、平民和組織。

小  結(jié)

本文主要從社會(huì)工程趨勢(shì)、社會(huì)工程攻擊實(shí)施設(shè)備和社會(huì)工程攻擊實(shí)例三個(gè)方面對(duì)社會(huì)工程進(jìn)行簡(jiǎn)要介紹，期望可以對(duì)想要初步了解社會(huì)工程的讀者有所幫助。下篇將對(duì)社會(huì)工程中用到的攻擊方法進(jìn)行介紹。