6社会工程事件的概念模型

在本节中，我们描述了我们用来更好地理解社会工程UIT问题的方法。我们还强调了多种利用的共同特征，并确定了可能的缓解策略。我们的方法使用了以下概念模型或分析方法：

• 攻击进展分析（第6.1节）

• 攻击模式的特征（第6.2节）

• 系统动力学建模（第6.3节）

• 社会工程策略本体论（第6.4节）

第6.5节讨论了这些方法对缓解策略的影响。

6.1攻击进展分析

攻击过程的概念，通常被称为杀伤链，起源于军事，是分析物理世界中攻击的一种方式。我们的见解是，将攻击分解为一系列阶段将使其更容易理解和防御[Meyers 2013]。2009年，Cloppert采用了这种技术用于网络安全[Cloppert 2009]。Cloppert将网络攻击分析为现在经典的六个阶段：侦察、武器化、交付、利用、指挥和控制以及渗漏（Exfiltration ）[1]（图6）。Hutchins、Cloppert和Amin随后更正式地阐述了攻击进展分析，将其作为开发高级持续威胁（APT）指标的一种方式，该指标描述了有能力和意图持续有效地针对特定实体的对手[Htchins 2011]。

攻击进展分析背后的想法是，了解攻击的阶段可以指导目标的防御计划，并实现最弱环节策略，在该策略中，对手的攻击可以在攻击进展的任何一步被挫败。六阶段模型的最新变化允许更大的灵活性，并考虑到攻击的复杂性。例如，Secureworks使用12阶段杀伤链[Bijou 2013]。在第6.2.1节中，我们讨论了我们为社会工程攻击开发的定制攻击进程。

图6:Cloppert的六阶段攻击进展

其他类似于攻击进展的模型已被用于分析社会工程攻击。例如，Laribee及其同事[Laribee 2006b]提出了一个攻击模型，该模型包括许多与杀伤链相同的方面，如研究和规划，但对不同的攻击方法进行了更深入的研究。其他模型侧重于特定类型的网络钓鱼攻击，如网上银行欺诈或跨站点脚本攻击[MMcCombie 2010]。Jakobsson的图模型提供了一种非常灵活的方法来描述各种网络钓鱼攻击[Jakobsson 2005]。

6.2从UIT案例研究推断的模式

社会工程攻击利用了人类心理以及人类如何与技术互动。网络钓鱼说明了社会工程是如何利用工作的。大多数网络钓鱼攻击有三个组成部分：钩子、诱饵和捕获[Parrish 2009]。钩子是钓鱼者使用的看似合法的电子邮件形式、网站或机制。诱饵是旨在诱骗潜在受害者上钩的动机。捕获是在攻击中获得的信息。网络钓鱼攻击使用不同的方法对潜在的非故意内部人员进行社会工程。

网络钓鱼电子邮件可以很简单，也可以很复杂。在最简单的情况下，攻击者发送一条简单的电子邮件，可能会提供奖励，如礼物、免费旅行或降低保险或水电费。该消息通常将读者引导到URL，用户在URL中输入系统密码和其他登录信息。在更复杂的情况下，信息可能具有公司信笺的外观和感觉。同样，该公司可能是手机供应商、银行或内部人士自己的组织。该消息通常用于与上述简单电子邮件消息相同的目的。

多阶段社会工程攻击很常见。第一阶段使用上述方法之一来获得UIT的计算资源上的帐户权限。然后，攻击者使用登录信息在UIT的内部系统中搜索有关员工、公司政策或特权数据的详细信息。攻击者利用上级人员的内幕信息实施鱼叉式网络钓鱼攻击。这些信息是针对个人而非大型群体定制的，往往包含特定于收件人和特定企业内部条件的信息。攻击者的目标是获得管理员权限，允许攻击者访问专有数据、干扰内部财务操作，或通过拒绝服务或其他攻击对操作造成损害。

第5节中的案例提供了这些类型的社会工程以及UIT接受诱饵并向钓鱼者返回有价值信息时产生的事件链的例子。描述这些攻击的一种方法是描述它们的一般阶段，然后根据阶段中明显的模式来区分社会工程攻击的类别。为了表示这些模式，我们将提供一些视图：

• 工作流模式显示单阶段或多阶段攻击的总体阶段。

• 用例模型将这些步骤显示为单独的用例和参与者。

• 攻击者、UI、消息和事件的其他方面被建模为类和子类。

• 泳道图是一种行为视图，显示了每个参与者的用例活动。

• 交互视图显示了在不同泳道中执行行为的实体之间的协作。

这些视图不仅包含特定的活动，而且还确定了参与者、参与者之间的交互以及在这些交互中交换的对象。本节中提供的一般模式可以通过案例研究中列出的每个攻击的细节和变化来实例化。在本节中，我们使用第5.1.1节的示例2（单阶段攻击，案例ID#15）和第5.1.2节的示例1（多阶段攻击，实例ID#5）来说明实例化。

6.2.1单阶段网络钓鱼攻击

单阶段攻击的攻击过程通常包括五个步骤，如图7所示。这是第6.1节中讨论的杀伤链模型的变体，在交付、利用、指挥和控制步骤中进行了一些定制，以适应社会工程的具体情况。图7中所示的步骤代表了更复杂的攻击可能基于的一般构建块。攻击的每个阶段都有不同的目标，这些目标可能会根据社会工程操作期间捕获的信息而发生机会主义变化。通用工作流模式允许这种灵活性。

图7：显示单阶段网络钓鱼攻击阶段的工作流模式

在第一阶段，攻击者研究可能的目标。根据收集到的信息，攻击者准备网络钓鱼工件。在此计划和准备阶段之后，攻击者通过向目标组织中的收件人发送钓鱼电子邮件来执行钓鱼操作。虽然大多数接受者没有回应，但那些回应的人会成为UIT的受害者。在响应和信息捕获阶段，UIT无意中将帐户信息发送到攻击者的系统。当收到这些信息时，攻击者通过使用帐户访问来植入恶意软件或采取其他针对UIT或UIT组织的措施，从而进行攻击的最后阶段。表3显示了网络钓鱼攻击各个阶段的典型操作。

表3：单阶段网络钓鱼攻击的步骤

图8显示了单阶段攻击的用例模型

图8：单阶段社会工程攻击的用例模型

图9显示了一个社会工程攻击的类模型。攻击参与者类中的人类参与者包括攻击者和一些UIT受害者。在许多网络钓鱼事件中，攻击者将电子邮件定向到大量潜在的UIT，或者潜在的UIT访问网络钓鱼网站。只有那些上钩的人才属于受害者亚类。攻击媒介类强调了攻击者通过攻击早期阶段的研究或通过UIT响应、恶意软件或其他电子手段获取信息的手段。为了进行攻击，攻击者在攻击媒介类中生成各种对象，包括电子邮件、恶意软件或网页。

图9：社会工程攻击的攻击类模型

图10是一个泳道图，提供了关于单阶段网络钓鱼攻击的另一个视角。它显示了攻击者和受害者的操作顺序。

图10：攻击者和UIT受害者在单阶段攻击中所采取行动的泳道图

最后，交互视图（图11）将泳道剥离，以显示每次交互以及执行攻击时发生的交换。该视图说明了针对单阶段攻击的泳道视图的每个元素的协作。交互序列显示了攻击每个阶段的信息交换。

图11：显示单阶段社会工程攻击中对象协作的交互视图

6.2.2多阶段网络钓鱼攻击

多阶段攻击遵循类似的模式，但一旦攻击者拥有UIT系统访问权限，攻击者就会识别其他潜在的UIT，并随后将社会工程指向它们。攻击者还可以利用获得的访问权限来探测UIT的系统，以获取各种形式的内部系统信息。图12中的工作流程图显示了一般攻击链。该图确定了利用的每个阶段所涉及的排序和决策过程。

图12：多阶段网络钓鱼攻击的攻击链工作流程图

表4显示了多阶段网络钓鱼攻击的步骤或阶段。单阶段攻击（表3）的步骤1-4仍然会发生，但多阶段攻击包括额外的迭代步骤（如表4中的粗体所示），这些步骤表示在进行延迟攻击之前的重复计划和准备、网络钓鱼、鱼叉式网络钓鱼以及响应和信息捕获操作。

表4：多阶段网络钓鱼攻击的步骤

图13显示了这种多阶段社会工程攻击的用例模型。它说明了初始网络钓鱼攻击（图左侧）和附加攻击（图右侧）。

图13：多阶段社会工程攻击的用例模型

图14描述了多阶段社会工程攻击中对象协作的交互视图。这些对象是从单级攻击的类模型中派生出来的（图9），但它们的实例更多。

图14：显示多阶段社会工程攻击中对象协作的交互视图

图15展示了案例ID#15（第5.1.1节中的示例2），它代表了一个单阶段的社会工程模式。图16展示了案例ID#5（第5.1.2节中的示例1），它代表了一个多阶段的社会工程模式。

[1]译者注：指从一个受限环境中将数据非法地传送到外部的行为。这通常是指黑客或恶意软件从受感染的计算机或网络中窃取数据并将其传输到攻击者控制的服务器。

原文始发于微信公众号（老烦的草根安全观）：无意的内部威胁：社会工程-7