安全最大的弱点在于人而不是设备,似乎也是一句老生常谈的教条。弱密码、通用密码、写在公共空间的强密码,被利用起来危害极大,这些都是因人的弱点而产生的问题,钓鱼邮件同样也是。
一、社工方面
钓鱼邮件可类比于电信诈骗,都是利用人性的弱点而实施。我们蓝队甚至想不通,本次攻防行动演练的事先事中发了很多预警邮件,但还是有很多同事中招。案例有如:
- 以其人之道还治其人之身。本次行动,红队干脆以 “安全演练临近,发布服务器漏洞检查工具” 为由散布内含反连 shell 木马的 jar 包,骗得某部门同事信以为真,上传该木马运行,导致内网百余台主机相继失陷。
- 看人下菜。譬如给人力部门大投含有木马的简历,甚至在邮件系统外,通过招聘软件、第三方聊天工具抛饵引人上钩;给客服部门发送言辞激烈的 “投诉” 邮件,附件当然也是内藏木马。
- 利用 “假期” 、 “绩效” 、 “涨薪” 等引人眼球,又或用 “疫情” 、 “报税” 、 “春招” 等紧扣时事,再或是 “紧急” 、 “重大” 等容易让人失掉戒心的一些主题。
二、技术方面
伪造发件人地址都已经不是什么新鲜事,红队关键还是要考虑邮件附件如何才能骗人运行。本次行动,MS Office 宏病毒倒没有在预想中出现,推测是因运行特征明显,不宜隐藏等一些原因。红队倒是在可执行文件的 “可执行”,“可放心执行” 这些属性上下足了功夫,如:
- 钓鱼文档的原文件名
张三的简历 xcod.scr,在“简历”和“rcs”之间插入一个 Unicode 控制字符 U+202E,其作用是把之后的字符 Right to left,经过 Windows 一渲染,变成了张三的简历 rcs.docx,再把图标一改,实现了看起来像是 docx 文档,而实际上是 scr(屏保文件,等同于可执行的 exe),双击即执行,极具欺骗性的同时危害也很大。
- 红队把真正的杀毒软件和木马打成 WinRAR 自解压 exe 包,并写好了释放后立即运行杀软安装程序+木马的脚本,这还不算完,据事后研究,红队利用 sigthief 这一证书伪造工具,把杀软的签名提取出来硬套在自制的木马上,从 Windows 右击属性的菜单来看确有了 “数字签名” 这一 tab,但是点开证书详情才发现签名其实无效——偷来的证书和文件本身 hash 并不匹配,签名无效那是理所应当的。但是这一攻击手段除了欺骗人眼让人 “放心” 执行外,对于逃过某些安全工具的检查也有一定的作用。
对于蓝队而言,邮件网关和终端上都可事先部署好查杀工具。除了上述技术上的弱点要见招拆招,及时广而告之,在前期宣传工作时也要把人性的弱点排除,比如安全通知由某一指定邮箱统一发送,并要求其他渠道二次确认一些可疑要求。如有同事不幸中招,及时断网排查,保留溯源证据。终端安全又是个大坑,暂时不想填了……