前 言
社会工程包括一系列广泛的活动,这些活动试图利用人为错误或人为行为,以获取信息或服务。它使用各种形式的操作来诱骗受害者犯错或交出敏感、机密信息。在网络安全领域,社会工程诱使用户打开文件/电子邮件、访问网站或授权未经授权的人访问系统或服务。
本文为上篇,从三个方面对社会工程进行简要介绍,主要包括社会工程趋势、社会工程攻击实施设备和社会工程攻击实例,期望可以使读者对社会工程有初步的了解。
社会工程趋势
社会工程,特别是网络钓鱼仍然是攻击者进行恶意活动的流行技术。根据Verizon数据泄露调查报告 (Data Breach Investigations Report,DBIR),大约82%的数据泄露涉及人为因素,欧洲、中东和非洲不少于60%的泄露包括社会工程成分。犯罪分子对社会工程感兴趣的潜在原因是显而易见的。电子邮件是他们最容易联系到潜在受害者的地方。尽管开展了提高认识的活动和练习,用户还是会上当受骗。此外,根据DBIR的说法,攻击者继续使用窃取的凭证,通过公司电子邮件获取目标的更多详细信息。
Europol和FBI报告称,网络钓鱼和社交工程仍然是支付欺诈的主要媒介,其数量和复杂性都在增加。波耐蒙研究所(Ponemon Institute)报告称,2021年网络钓鱼的成本是2015年的三倍多,解决这些攻击最耗时的任务是清理和修复受感染系统以及进行取证调查。
值得注意的是,2021年,曼迪昂特观察到的通过网络钓鱼发起的入侵要少得多。当曼迪昂特发现最初的漏洞时,2021年网络钓鱼仅占入侵的11%,而2020年这一比例为23%。这些数字是基于曼迪昂特的调查,而不是基于全球恶意活动的遥测。
一般来说,社会工程的目标以及对受害者的影响是获得信息/服务或获得关于特定主题的知识,但也用于经济利润。因此,金融机构是被网络钓鱼者冒充的最主要组织之一。除金融行业外,犯罪分子的社会工程活动主要围绕科技行业展开,微软、苹果和谷歌等品牌是最受冒充的目标。同时社会工程活动也会模仿远程工作者使用的流行云服务、流媒体或媒体提供商使用的平台。
社会工程攻击实施的服务
创建钓鱼网站并为社会工程活动设置底层基础设施可能是一项乏味的工作。因此,犯罪分子越来越多地转向网络钓鱼工具包提供的现成材料,或者利用“网络钓鱼即服务”的服务模式。
IBM报告称,网络钓鱼工具包的部署寿命通常很短,几乎三分之一的部署工具包的使用时间不超过一天。根据Microsoft的说法,现代网络钓鱼工具已经足够复杂,可以通过使用拼写、语法和图像来伪装成合法的内容。在同一份报告中,微软指出,使用这些工具包的歹徒也可以被愚弄。一些工具包包含“附加”功能,不仅可以将获得的凭证发送给钓鱼者,还可以发送给工具包的原始作者或复杂的中介。从受害者的角度来看,这可能会严重加剧事件的影响,因为被盗的证件现在会落入几个不同的团伙手中。
网络钓鱼工具包还考虑了地区差异,过滤掉不受欢迎的代理,添加混淆选项,并作为软件即服务包的一部分出售:网络钓鱼即服务(Phishing-as-a-Service ,PhaaS)。这些服务并不新鲜,但微软关于bulletproflink运营的一份报告显示了它的复杂程度、专业的商业模式和自动化的使用。PhaaS访问成本低,且部署相对容易,因此攻击者很可能通过PhaaS基础设施运行的网络钓鱼活动不会很快消失。
PhaaS的扩展是初始访问代理的使用。这种由社会工程专家组成的供应链首先向一个组织打开了“闸门”,之后他们将他们的访问权限(通常是凭证或安装的远程访问工具)移交给后续参与者。正如DBIR之前所述,攻击者可以利用这一点与受害者接触或进一步深入组织。近年来,内部犯罪的市场进一步繁荣,主要是因为犯罪组织不断要求容易接触到受害者组织。
由于威胁组织(负责初始访问的组织,恶意软件或勒索软件的组织,敲诈勒索的组织)的日益多样化、专业化,我们很可能会看到更多的初始访问代理首先进入受害者组织,然后将其访问用于后续犯罪活动,或者间谍活动。
谷歌的威胁分析组于2022年3月记录了一场由初始访问代理(称为“异国百合”)发起的攻击活动。该组织利用网络钓鱼电子邮件利用微软MSHTML中的一个漏洞,似乎为传播Conti和Diavol勒索软件的团体提供了初始访问权限。邮件的有效负载包括使用磁盘映像(ISO)文件。但他们并不是观察到的使用磁盘映像的唯一威胁参与者。
社会工程攻击实例
实例1:The Dukes发起的鱼叉网络钓鱼运动
ESET揭露了一个由Dukes (也被称为APT29、Cozy Bear或Nobelium)进行的鱼叉网络钓鱼活动。在2021年10月和11月,该间谍组织以多个欧洲外交使团和外交部为目标,其攻击方法类似于他们之前针对法国和斯洛伐克组织的行动。在最新的行动中,黑客冒充其他政府机构,说服受害者打开一个HTML文件,然后下载一个磁盘映像(ISO或VHDX)。在这个磁盘映像中,攻击者存储了更多的恶意软件,最终获得了一个Cobalt Strike信标。磁盘映像是逃避防御以传递恶意软件的强大方法。web标记(MOTW)不能应用于磁盘映像内的文件,因此它逃避SmartScreen,并且不会向用户警告潜在的不安全文件正在被打开。
2021年7月,Dukes也进行了类似的活动:在这次活动中,攻击者最初的电子邮件冒充比利时驻爱尔兰大使馆的工作人员,不包含恶意内容。只有在受害者回复后,才会收到一封带有ZIP附件的后续电子邮件,该附件中包含了一个磁盘映像(ISO),然后导致了Cobalt Strike。首先发送一封非恶意电子邮件,然后再发送一封包含有效载荷的后续消息,这种方法也被主要活跃在亚洲的威胁行为者SideWinder所采用。
实例2:乌克兰战争主题袭击
美国网络安全公司Proofpoint在2022年3月披露了一场可能由民族国家支持的网络钓鱼活动,该活动利用一名可能已被攻破的乌克兰武装服役人员的电子邮件帐户,针对参与管理逃离乌克兰难民后勤的欧洲政府人员进行钓鱼攻击。
谷歌揭示,战火纷飞的乌克兰已成为不法之徒的网络钓鱼和恶意软件活动的温床。其中,COLDRIVER这一神秘角色尤为引人瞩目,它乃一来自俄罗斯的威胁行动者,时而被称为Callisto。据称,COLDRIVER利用伪造证书的钓鱼邮件瞄准政府官员、国防人员、政治家、非政府组织、智库和记者等群体。此外,COLDRIVER还曾对东欧多国军队以及一个北约卓越中心发起攻击。
根据这项研究,Sekoia揭示了威胁行动者Turla (也称为Snake或venous Bear)在欧洲进行的基于网络钓鱼的侦察活动。在这次活动中,威胁行为者的目标是波罗的海防务学院的网站以及奥地利联邦经济商会。
考虑到已经发生的恐怖事件,未来很可能出现类似乌克兰战争主题的社会工程攻击(其他类型的网络攻击),其目标直指欧洲政府、平民和组织。
小 结
本文主要从社会工程趋势、社会工程攻击实施设备和社会工程攻击实例三个方面对社会工程进行简要介绍,期望可以对想要初步了解社会工程的读者有所帮助。下篇将对社会工程中用到的攻击方法进行介绍。
