本故事根据真实事件改编,如有雷同纯属巧合,故事中人物均为化名。
攻击者小黑准备对目标站点发起一个攻击,是一个大学的网站,通过渗透测试发现没有漏洞,因为网站采用了WAF且内网出口部署了防火墙。所以首先小黑对学校的招生信息做了了解,清楚了学校的招生数量和专业种类以及学号格式,并在一些校内文章内了解了一些学生的姓名和性别以及所在班级还有校长(孔校长)的姓名。然后他找到了一个校园论坛注册了进去,找到了之前所查询的学生小张的联系方式但是没有手机号,所以先加上了他的 QQ 号,然后以学弟的身份互留了备注名确定了对方身份,紧接着就问了下他的老师和专业内容以及近期学的知识同时又要到了其中一个老师的手机号,然后浏览了对方的空间后找到了几张对方的照片。
接下来小黑通过手机号以小张的身份加上了老师的微信,以想了解专业知识从老师那里获取到了大学网络办一位刘老师的手机号和姓名,然后以孔校长外甥的身份添加了刘老师的微信,刘老师问了小黑是哪个班的然后小黑把之前所确定好的小张的信息告诉了刘老师,从而获取的刘老师的信任,然后在聊天中知道了网络办的主任叫刘辉,然后以明天刘辉主任找自己有事为由要到了主任的手机号。然后又查到了主任的QQ号加上了主任的 QQ 号和微信,从朋友圈以及空间里面发现老师热衷于网络安全,但是技术还是不是特别好,所以就给刘辉主任发了一个准备好的钓鱼网站,在主任注册后获取到了主任注册的用户名以及注册的密码,还有浏览器版本和内网 IP ,然后小黑发了一封注册邮件给老师其中包括一个 excel 文档,这个文档是准备的恶意文档,文字内容为在文档中查看常用技术资料链接。
一分钟后小黑这里获取到了反弹shell,进入系统后小黑搜集了一下主任电脑上的 word 文档打包了一下下载到了本地,随后植入了一个后门程序用来监控电脑使用时间段以及远程登录,两天后,发现主任基本都在 11:30-12:30 这个时间段不操作电脑,然后他在第三天再次登录主任的电脑,添加了后门账户,并植入了一个后门木马每天在主任不在的这段时间对其他局域网的机器发起口令爆破攻击,五天内将局域网内的大部分机器都爆破成功,小黑爆破程序删除后陆续从被爆破成功的机器上下载了所有的账号密码信息还有人事档案信息和其余的学生和网络架构信息。
然后凭借所下载的文档中显示的账号信息,成功登录了学校多个管理系统,下载了全校所有老师的信息和学生信息。
总结:
本案例中小黑首先对学校对外公开信息进行查询作为初步信息收集,选好需要伪造的身份-校友,然后在校园论坛上通过伪造身份与某个学生进行交流获取信任,同时了解其身份信息和校内学习情况信息方便伪造第二个身份信息 - 学生,在获得其老师的联系方式后获取了校内负责网络管理的老师的联系方式,以第二个身份再去获取老师的信任并获取网络办最高权力的联系方式,刘辉主任的联系方式,然后依旧以第二个身份来与老师进行交流,在了解其兴趣爱好后进行鱼叉定向攻击,与其办公室计算机构建链接,趁机搜集计算机上存放的资料,然后留下后门,观察主任的日常活动规律。然后在其不在的时间段进行敏感操作,从而避免因失误触发的警报被主任发现。在对内网机器进行渗透结束后下载了所有的文档,删除了操作和登录日志。
然后根据文档内整理的账号密码资料登陆了大学多个系统的后台,下载了所有的学生以及老师资料。
本次攻击案例是一个典型的社工信息搜集配合技术的针对性攻击,利用多个身份及常见心理来对校内重点人员进行攻击,而且这在实战中是经常遇到的,也是难度最低的,其实在很多时候,我们不能单纯依靠一台电脑来完成社工攻击,尤其是当目标制度较为严格,人员安全意识普遍较高时,就需要改变思路来进行社会工程学攻击。
本文以一个精简的案例来说明社会工程学在实战中的用途,其实这也仅仅知识社工众多技巧的一个最为简单最理想的一种方法。