冒充客户进行虚假投诉,也是一种常用的社工手法,攻击方会通过单人或多人配合的方式,通过在线客服平台、社交软件平台等,向客户人员进行虚假的问题反馈或投诉,设局诱使或迫使客服人员接受经过精心设计的带毒文件或带毒压缩包。一旦客户人员的心理防线被突破,打开了带毒文件或压缩包,客服人员的电脑就会成为攻击队打入内网的一个“立足点”。
除了客服人员外,很多非技术类岗位的工作人员也很容易成为社工攻击的“外围目标”。例如,如给法务人员发律师函,给人力资源人员发简历,给销售人员发送采购需求等,都是比较常用的社工方法。而且往往“百试百灵”。
六、 利用供应链隐蔽攻击
供应链攻击是迂回攻击的典型方式。攻击方会从IT(设备及软件)服务商、安全服务商、办公及生产服务商等供应链入手,寻找软件、设备及系统漏洞,发现人员及管理薄弱点并实施攻击。常见的系统突破口包括:邮件系统、OA系统、安全设备、社交软件等;常见的突破方式包括软件漏洞,管理员弱口令等。
利用供应链攻击,可以实现第三方软件系统的恶意更新,第三方服务后台的秘密操控,以及物理边界的防御突破(如,受控的供应商驻场人员设备被接入内网)等多种复杂的攻击目标。
七、 利用下属单位迂回攻击
在有红队防守的实战攻防演习中,有时总部的系统防守会较为严密,蓝队很难正面突破,很难直接撬开进入内网的大门。此时,尝试绕过正面防御,通过攻击防守相对薄弱的下属单位,再迂回攻入总部的目标系统,就是一种很“明智”的策略。
蓝队大量实战中发现:绝大部分企业机构,其下属单位之间的内部网络,下属单位与集团总部之间的内部网络,均未进行有效隔离。很多部委单位、大型央企均习惯于使用单独架设一条专用网络,来打通各地区之间的内网连接,但同时又普遍忽视了不通区域网络之间必要的隔离管控措施,缺乏足够有效的网络访问控制。
这就导致蓝队一旦突破了子公司或分公司的防线,便可以通过内网横向渗透,直接攻击到集团总部,或是漫游整个企业内网,进而攻击任意系统。
例如A子公司位于深圳,B子公司位于广州,而总部位于北京。当A子公司或B子公司被突破后,就可以毫无阻拦地进入到总部网络中来。事实上,A子公司与B子公司可能仅需要访问北京总部的部分业务系统;同时,A与B则可能完全不需要有任何业务上的往来。那么,从安全角度看,就应该严格限制A与B之间的网络访问。但实际情况常常是:一条专线内网通往全国各地,一处沦陷,处处沦陷。
八、 秘密渗透
不同于民间黑客或黑产团队,蓝队工作一般不会大规模使用漏洞扫描器,因为扫描器活动特征明显,很容易暴露自己。例如,目前主流的WAF、IPS等防护设备都有识别漏洞扫描器的能力,一旦发现后,可能第一时间触发报警或阻断IP。
因此,信息收集和情报刺探是蓝队工作的基础。在数据积累的基础上,针对性地根据特定系统、特定平台、特定应用、特定版本,去寻找与之对应的漏洞,编写可以绕过防护设备的EXP来实施攻击操作,可以达到隐蔽攻一击即中的目的。
如果目标系统的防御纵深不够,或使用安全设备的能力不足,当面对这种有针对性攻击时,往往就很难及时发现和阻止攻击行为。在攻防演习的实战中,常常使用蓝队获取到目标资料或数据后,被攻击单位尚未感知到入侵行为。
如果参与演习的安全人员本身的技术能力也比较薄弱,无法实现对攻击行为的发现、识别,无法给出有效的攻击阻断、漏洞溯源及系统修复策略,则在攻击发生的很长一段时间内,防守一方可能都不会对蓝队的隐蔽攻击采取有效的应对措施。
九、 多点潜伏
蓝队专家在工作中,通常不会仅仅站在一个据点上去去开展渗透工作,而是会采取不同的Webshell,使用不同的后门程序,利用不同的协议来建立不同特征的据点。
事实上,大部分应急响应过程并没有溯源攻击源头,也未必能分析完整攻击路径。在防护设备告警时,很多防守方队员会仅仅只处理告警设备中对应告警IP的服务器,而忽略了对攻击链的梳理,从而导致尽管处理了告警,但仍未能将蓝队排除在内网之外。而蓝队则可以通过多个潜伏据点,实现快速“死灰复燃”。