前   言

社會工程包括一系列廣泛的活動，這些活動試圖利用人為錯誤或人為行為，以獲取信息或服務(wù)。它使用各種形式的操作來誘騙受害者犯錯或交出敏感、機密信息。在網(wǎng)絡(luò)安全領(lǐng)域，社會工程誘使用戶打開文件/電子郵件、訪問網(wǎng)站或授權(quán)未經(jīng)授權(quán)的人訪問系統(tǒng)或服務(wù)。

本文為上篇，從三個方面對社會工程進行簡要介紹，主要包括社會工程趨勢、社會工程攻擊實施設(shè)備和社會工程攻擊實例，期望可以使讀者對社會工程有初步的了解。

社會工程趨勢

社會工程，特別是網(wǎng)絡(luò)釣魚仍然是攻擊者進行惡意活動的流行技術(shù)。根據(jù)Verizon數(shù)據(jù)泄露調(diào)查報告 (Data Breach Investigations Report，DBIR)，大約82%的數(shù)據(jù)泄露涉及人為因素，歐洲、中東和非洲不少于60%的泄露包括社會工程成分。犯罪分子對社會工程感興趣的潛在原因是顯而易見的。電子郵件是他們最容易聯(lián)系到潛在受害者的地方。盡管開展了提高認識的活動和練習(xí)，用戶還是會上當(dāng)受騙。此外，根據(jù)DBIR的說法，攻擊者繼續(xù)使用竊取的憑證，通過公司電子郵件獲取目標的更多詳細信息。

Europol和FBI報告稱，網(wǎng)絡(luò)釣魚和社交工程仍然是支付欺詐的主要媒介，其數(shù)量和復(fù)雜性都在增加。波耐蒙研究所(Ponemon Institute)報告稱，2021年網(wǎng)絡(luò)釣魚的成本是2015年的三倍多，解決這些攻擊最耗時的任務(wù)是清理和修復(fù)受感染系統(tǒng)以及進行取證調(diào)查。

值得注意的是，2021年，曼迪昂特觀察到的通過網(wǎng)絡(luò)釣魚發(fā)起的入侵要少得多。當(dāng)曼迪昂特發(fā)現(xiàn)最初的漏洞時，2021年網(wǎng)絡(luò)釣魚僅占入侵的11%，而2020年這一比例為23%。這些數(shù)字是基于曼迪昂特的調(diào)查，而不是基于全球惡意活動的遙測。

一般來說，社會工程的目標以及對受害者的影響是獲得信息/服務(wù)或獲得關(guān)于特定主題的知識，但也用于經(jīng)濟利潤。因此，金融機構(gòu)是被網(wǎng)絡(luò)釣魚者冒充的最主要組織之一。除金融行業(yè)外，犯罪分子的社會工程活動主要圍繞科技行業(yè)展開，微軟、蘋果和谷歌等品牌是最受冒充的目標。同時社會工程活動也會模仿遠程工作者使用的流行云服務(wù)、流媒體或媒體提供商使用的平臺。

社會工程攻擊實施的服務(wù)

創(chuàng)建釣魚網(wǎng)站并為社會工程活動設(shè)置底層基礎(chǔ)設(shè)施可能是一項乏味的工作。因此，犯罪分子越來越多地轉(zhuǎn)向網(wǎng)絡(luò)釣魚工具包提供的現(xiàn)成材料，或者利用“網(wǎng)絡(luò)釣魚即服務(wù)”的服務(wù)模式。

IBM報告稱，網(wǎng)絡(luò)釣魚工具包的部署壽命通常很短，幾乎三分之一的部署工具包的使用時間不超過一天。根據(jù)Microsoft的說法，現(xiàn)代網(wǎng)絡(luò)釣魚工具已經(jīng)足夠復(fù)雜，可以通過使用拼寫、語法和圖像來偽裝成合法的內(nèi)容。在同一份報告中，微軟指出，使用這些工具包的歹徒也可以被愚弄。一些工具包包含“附加”功能，不僅可以將獲得的憑證發(fā)送給釣魚者，還可以發(fā)送給工具包的原始作者或復(fù)雜的中介。從受害者的角度來看，這可能會嚴重加劇事件的影響，因為被盜的證件現(xiàn)在會落入幾個不同的團伙手中。

網(wǎng)絡(luò)釣魚工具包還考慮了地區(qū)差異，過濾掉不受歡迎的代理，添加混淆選項，并作為軟件即服務(wù)包的一部分出售:網(wǎng)絡(luò)釣魚即服務(wù)(Phishing-as-a-Service ，PhaaS)。這些服務(wù)并不新鮮，但微軟關(guān)于bulletproflink運營的一份報告顯示了它的復(fù)雜程度、專業(yè)的商業(yè)模式和自動化的使用。PhaaS訪問成本低，且部署相對容易，因此攻擊者很可能通過PhaaS基礎(chǔ)設(shè)施運行的網(wǎng)絡(luò)釣魚活動不會很快消失。

PhaaS的擴展是初始訪問代理的使用。這種由社會工程專家組成的供應(yīng)鏈首先向一個組織打開了“閘門”，之后他們將他們的訪問權(quán)限(通常是憑證或安裝的遠程訪問工具)移交給后續(xù)參與者。正如DBIR之前所述，攻擊者可以利用這一點與受害者接觸或進一步深入組織。近年來，內(nèi)部犯罪的市場進一步繁榮，主要是因為犯罪組織不斷要求容易接觸到受害者組織。

由于威脅組織(負責(zé)初始訪問的組織，惡意軟件或勒索軟件的組織，敲詐勒索的組織)的日益多樣化、專業(yè)化，我們很可能會看到更多的初始訪問代理首先進入受害者組織，然后將其訪問用于后續(xù)犯罪活動，或者間諜活動。

谷歌的威脅分析組于2022年3月記錄了一場由初始訪問代理(稱為“異國百合”)發(fā)起的攻擊活動。該組織利用網(wǎng)絡(luò)釣魚電子郵件利用微軟MSHTML中的一個漏洞，似乎為傳播Conti和Diavol勒索軟件的團體提供了初始訪問權(quán)限。郵件的有效負載包括使用磁盤映像(ISO)文件。但他們并不是觀察到的使用磁盤映像的唯一威脅參與者。

社會工程攻擊實例

實例1：The Dukes發(fā)起的魚叉網(wǎng)絡(luò)釣魚運動

ESET揭露了一個由Dukes (也被稱為APT29、Cozy Bear或Nobelium)進行的魚叉網(wǎng)絡(luò)釣魚活動。在2021年10月和11月，該間諜組織以多個歐洲外交使團和外交部為目標，其攻擊方法類似于他們之前針對法國和斯洛伐克組織的行動。在最新的行動中，黑客冒充其他政府機構(gòu)，說服受害者打開一個HTML文件，然后下載一個磁盤映像(ISO或VHDX)。在這個磁盤映像中，攻擊者存儲了更多的惡意軟件，最終獲得了一個Cobalt Strike信標。磁盤映像是逃避防御以傳遞惡意軟件的強大方法。web標記(MOTW)不能應(yīng)用于磁盤映像內(nèi)的文件，因此它逃避SmartScreen，并且不會向用戶警告潛在的不安全文件正在被打開。

2021年7月，Dukes也進行了類似的活動：在這次活動中，攻擊者最初的電子郵件冒充比利時駐愛爾蘭大使館的工作人員，不包含惡意內(nèi)容。只有在受害者回復(fù)后，才會收到一封帶有ZIP附件的后續(xù)電子郵件，該附件中包含了一個磁盤映像(ISO)，然后導(dǎo)致了Cobalt Strike。首先發(fā)送一封非惡意電子郵件，然后再發(fā)送一封包含有效載荷的后續(xù)消息，這種方法也被主要活躍在亞洲的威脅行為者SideWinder所采用。

實例2:烏克蘭戰(zhàn)爭主題襲擊

美國網(wǎng)絡(luò)安全公司Proofpoint在2022年3月披露了一場可能由民族國家支持的網(wǎng)絡(luò)釣魚活動，該活動利用一名可能已被攻破的烏克蘭武裝服役人員的電子郵件帳戶，針對參與管理逃離烏克蘭難民后勤的歐洲政府人員進行釣魚攻擊。

谷歌揭示，戰(zhàn)火紛飛的烏克蘭已成為不法之徒的網(wǎng)絡(luò)釣魚和惡意軟件活動的溫床。其中，COLDRIVER這一神秘角色尤為引人矚目，它乃一來自俄羅斯的威脅行動者，時而被稱為Callisto。據(jù)稱，COLDRIVER利用偽造證書的釣魚郵件瞄準政府官員、國防人員、政治家、非政府組織、智庫和記者等群體。此外，COLDRIVER還曾對東歐多國軍隊以及一個北約卓越中心發(fā)起攻擊。

根據(jù)這項研究，Sekoia揭示了威脅行動者Turla (也稱為Snake或venous Bear)在歐洲進行的基于網(wǎng)絡(luò)釣魚的偵察活動。在這次活動中，威脅行為者的目標是波羅的海防務(wù)學(xué)院的網(wǎng)站以及奧地利聯(lián)邦經(jīng)濟商會。

考慮到已經(jīng)發(fā)生的恐怖事件，未來很可能出現(xiàn)類似烏克蘭戰(zhàn)爭主題的社會工程攻擊（其他類型的網(wǎng)絡(luò)攻擊），其目標直指歐洲政府、平民和組織。

小  結(jié)

本文主要從社會工程趨勢、社會工程攻擊實施設(shè)備和社會工程攻擊實例三個方面對社會工程進行簡要介紹，期望可以對想要初步了解社會工程的讀者有所幫助。下篇將對社會工程中用到的攻擊方法進行介紹。