浅谈社会工程学攻击的几种方式｜证券行业专刊2·安全村

摘 要：随着社会工程学攻击越来越成为攻防中一种不可忽视的攻击方式，其攻击方式多、攻击途径广的特点增加了防守方的防御难度，本文详细阐述了社会工程学的攻击方式和攻击途径，并以最为常见的钓鱼邮件攻击和IM投毒为例详细说明了防守方的防御策略与应对手段，对日常安全运营中应对社会工程学攻击有普遍的参考意义。

关键词：社会工程学 钓鱼邮件 IM投毒 安全防御

概述

正如著名黑客凯文・米特尼克在《欺骗的艺术》中对社会工程学的定义：“通过心理弱点、本能反应、好奇心、信任、贪婪等一些心理陷阱进行的诸如欺骗、伤害、信息盗取、利益谋取等对社会及人类带来危害的行为”。在计算机科学中，社会工程学指的是通过与人的合法交流，传递虚假消息来使其心理受到影响，做出某些动作或者是透露一些机密信息。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。随着网络安全防护技术及安全防护产品应用的越来越成熟，诸如（WAF、IPS、IDS、EDR）等安全防护产品的大规模应用，很多常规的入侵手段越来越难。正面突破逐渐成为一种成本高、收益低的攻击途径。根据腾讯攻击队对日常攻防演练发布的数据可知，社会工程学（主要为钓鱼）在较少的时间成本下，可以拿到和正面突破差不多的分数，在这种情况下，更多的黑客将攻击手法转向了社会工程学攻击，同时利用社会工程学的攻击手段也日趋成熟，技术含量也越来越高。

1 社会工程学常见的攻击手段

计算机和网络都离不开人为的操作，在网络安全中，人是最薄弱的环节。如上文提到，通过对人性的分析和挖掘，利用人存在的一些固有弱点，就有可能达到事半功倍的效果。不管采用何种社会工程学攻击方式，其最后到人这一侧，其话术和套路大体都是相同的。主要分为以下几个方面：伪装欺诈、恐吓、反向社会工程学。

1）伪装欺诈：主要伪装成客户、高管、求职者、朋友、同学、投资者等与受害人职业或关系较近的身份，骗取受害人信任，诱导受害人点击病毒文件等恶意样本。

2）恐吓：攻击者常常以权威机构的身份出现，散布安全警告,系统风险之类的信息，使用危言耸听的伎俩恐吓欺骗计算机用户,并声称如果不按照他们的要求去做,会造成非常严重的危害或损失。

3）反向社会工程学：反向社会工程学是指攻击者通过技术或者非技术的手段给网络或者计算机应用制造“问题”，使其公司员工深信不疑，诱使工作人员或网络管理人员透露攻击者需要获取的信息。

2 社会工程学常见的攻击途径

通过上节我们可知，黑客进行社会工程学攻击时经常进行伪装欺诈、恐吓等方式，社工以其途径多，门槛低等特点，越来越受到黑客的重视。结合目前网络环境中常见的社会工程学攻击方式，其主要的攻击途径有：利用IM即时通讯软件如：企微、QQ、钉钉等；钓鱼邮件攻击；虚假网站；近源攻击。在实际安全运营中，以钓鱼邮件、IM投毒最为频繁，接下来主要通过钓鱼邮件和IM投毒的攻击过程来详细讲述下社会工程学的攻击过程与防御手段。

2.1 钓鱼邮件攻击

Garten研究报告指出：91%的APT攻击始于社交工程邮件，86%的加密勒索软件始于社交工程邮件。根据一份数据泄露报告指出：32%的违规行为涉及网络钓鱼，94%的恶意软件事件通过电子邮件传递。根据中国企业研究报告指出：40%的企业邮箱是正常邮件，意味这60%的企业邮件都是垃圾邮件，其中很大一部分可能为钓鱼邮件。

攻击者通常利用密码到期、发票、岗位薪资调整、财政补助等具有欺骗性的文字诱导受害者点击或者下载附件，从而达到窃取信息或远控的目的。其攻击方式也变得多种多样，通过日常安全运营可知，目前钓鱼邮件逐渐加密化、二维码化、图片化、精准化以及人工智能化。

2.2 IM投毒

随着IM作为对外沟通的渠道。其在防范社工钓鱼存在以下难点：

1. 应用范围广：微信、QQ、企业微信等IM软件、邮件在企业日常办公中承担重要支撑作用；对外沟通的重要渠道
2. 检测难：IM软件协议私有，在协议层面无法还原，无法在网关和流量层面进行检测防范；同时装有IM软件的客户端遍布公司终端、自有终端。
3. 人的弱点：内部员工的安全意识参差不齐，面对针对性的话术诱骗容易落入圈套
4. 处置难：无法快速定位失陷人员，很容易造成大面积失陷。

攻击者利用天时地利人和，在充分了解被害人的职位、工作内容、基本称呼和一些公开信息后进行有针对性的对话，一般的IM投毒主要伪装成客户、投诉者等，利用客服人员的工作性质，工作内容进行有针对性的话术欺骗，最终诱导受害者点击病毒文件，从而进行进一步的渗透。

3 社工攻击的响应与处置

图 1 社工钓鱼的攻击过程

一般的社工钓鱼流程如上图1所示，黑客通过IM、邮件等途径，利用欺诈、恐吓等手段，达到让受害人相信并下载恶意附件，执行病毒程序的目的。上面的例子可总结出，一般的钓鱼攻击过程分为三个阶段：

1. 投递阶段：攻击者通过向目标的 IM 即时通讯软件或者邮箱发送链接或者文件，诱导用户点击或下载文件执行。此阶段的主要特点是，攻击者利用人性弱点，进行社工突防，令人防不胜防。
2. 执行/内网横移阶段：当受害者运行了恶意程序后，恶意程序会在受害终端执行，建立持久化驻留，获取凭据，信息收集，横向移动等操作。此阶段的主要特点是，恶意程序为了能在系统中运行，通常都会经过免杀处理，从而逃避杀软的查杀。
3. 命令和控制(外联C2)：木马在受害终端运行后，为了获取终端敏感信息或建立进一步的恶意行为操作，木马会访问预先准备好的恶意地址，建立外联通信，从而实现远控。此阶段主要特点是，攻击者要实现窃取敏感数据等恶意操作，就需要外联。通常攻击者会采用一些隐匿加密通信技术进行外联通信。

针对上述两种常见的社工钓鱼方式，其防护手段也不尽相同，接下来结合防御示意图来简要叙述一下：

3.1 构建邮件纵深防御体系

图2 邮件纵深防御示意图

如上图2所示，构建邮件纵深防御是解决邮件安全问题的一种思路，此防御体系可以总结为事前防御、事中防御、事后处置三个过程。

1. 事前防御：以加强人的安全意识为主，人是社会工程学的核心，任何攻击成功事件，都需要受害人的配合。所以一定频率的钓鱼演练和安全宣贯是社工防御必不可少的环节。情报的收集和获取也是事前防御的重点，购买情报服务或加入行业情报组织对于事前的社工防御也是重中之重，如果能先社工一步获取情报信息，提前建立起防御工事那么将极大减小被攻破的风险。
2. 事中防御：是整个纵深防御体系的关键环节，其中以邮件网关的防御能力为主，随着钓鱼邮件逐渐的加密化、二维码化、图片化甚至随着人工智能的兴起，钓鱼内容的生成也逐渐的智能化和精准化。邮件网关的能力也要随着技术的更新而不断的完善。其主要包括：SPFRBL的检测能力；DDOS的防御能力；病毒邮件识别能力；垃圾邮件指纹分析能力；云情报联动能力；OCR识别能力；机器学习能力；Syslog日志推送能力；API功能对接能力。
3. 事后处置：对于透过邮件网关的钓鱼邮件，在用户点击威胁附件或链接之前，还有很短的一段时间，我们称之为邮件处理的黄金时间。如何在这段黄金时间如何在用户无感知的情况下快速删除邮件并封禁相关域名和IP，是思考邮件事后处置的基本出发点。我们通过SIEM（Security Information and EventManagement）接入各种邮件安全日志进行分析和告警，同时将确认无疑的告警发往SOAR（Security Orchestration Automation and Response）进行自动化的编排和处置。其技术过程主要包括以下三点：1、邮件网关后流量接入邮件检测设备，包括邮件溯源系统、邮件M01联防系统、邮件沙箱等设备同时将这些设备检测的结果以syslog日志的形式传入SIEM；2、SIEM汇总来自旁路部署的各邮件安全设备的日志，同时还接入了邮件网关的日志、邮件服务器的登录日志等邮件相关日志，通过对邮件各种日志的汇总分析，分析出威胁严重的告警进而推送到SOAR；3、SOAR接收来自SIEM的威胁告警，包括邮件各维度的信息如发件人、收件人、主题等，通过打通SOAR对接邮件服务器的删除接口API和对接邮件网关的封禁接口API，同时编排应对各种场景的剧本，通过剧本来处置来自SIEM的告警。整个处置过程少于1分钟。

3.2 打造IM全流程处置体系

图3 IM社工处置示意图

如上图3所示，对于IM类投毒，进行IM的落地文件监控是至关重要的，尤其是可执行文件，一般木马程序都是通过可执行文件进行的。通过对文件的监控，把可疑文件放入沙箱进行自动化检测，如果发现有可疑文件，则通过IM进行通知检测结果，如果发现被受害人点击了威胁文件，则进行自动化断网，自动化隔离等一系列应急操作，通过对威胁文件的全流程监控，达到快速响应的效果。其过程主要分为以下几个方面：

1. 落地文件的监测，通过SIEM平台接入IM日志进行文件类型监控，主要针对于加密附件类与可执行文件类的检测。在此阶段通过分析判定该文件是否为恶意文件，如果为恶意文件则进行下一步操作。
2. 文件自动化检测，通过把威胁告警传给SOAR，SOAR接收来自威胁告警的详细信息，通过文件的ID调取IM的接口，下载文件传入文件沙箱，同时将文件沙箱的结果以IM的方式告知安全处置人员和受害人。
3. 威胁处置，安全人员收到来自SOAR的分析结果，则开始迅速响应，一般包括直接电话通知受害人，若受害人点击了威胁文件，则会触发自动化断网，和自动化隔离等操作。
4. 流程优化，对于经常收到IM投毒的客服人员或投顾人员，在进行社工安全的培训后可加入告警白名单，嵌入到整个自动化处置流程中，对于新增受害者则会重点关注，增加整个处置流程的效率。

4 总结

社会工程学的攻击虽然攻击手段、攻击途径多种多样，但是通过完善的安全防御体系，可以尽快发现并阻断其攻击，正如上文提到的防御体系，可以通过自动化的方式达到快速处理的目的。当然社会工程学的防御绝对不是孤立的，除上述的防御外，在日常安全运营中，我们也要和其他的防御系统有机的结合在一起，比如数据DLP、终端EDR、网络NTA、UEBA等设备，只有建立整体纵深的防御体系，才能保障我们日常运营的安全。

作者介绍

江旺，张双双，华泰证券。

关于 安全村文集·证券行业专刊

证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案，为大家分享一线安全规划、运营、建设的心得和实践经验。

关于 安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

投稿邮箱：[email protected]

原文始发于微信公众号（安全村SecUN）：浅谈社会工程学攻击的几种方式｜证券行业专刊2·安全村