网络安全渗透测试

渗透测试社会工程学

渗透测试是一种主动措施,可以在其他攻击者之前尝试识别服务和组织中的漏洞。

可以在许多领域提供渗透测试,例如:

  • 网络应用程序。开发和发布了新的网络应用程序。
  • 网络和基础设施。许多应用程序不是 Web 应用程序,而是使用其他协议。这些组织应用程序可以驻留在外部和内部。
  • 内部测试/受感染的计算机模拟。如果用户在其系统上收到恶意软件怎么办?这几乎等同于攻击者在该系统上使用手动键盘,对任何组织都构成严重风险。
  • 外部组织测试。在整个组织内作为渗透测试人员范围进行的测试。这是理想的做法,但通常需要拥有自己的内部渗透测试团队来专注于这项长期或高成本的测试,需要聘请外部团队进行测试。
  • 笔记本电脑被盗场景。在我们下面的场景中进一步描述。
  • 客户端应用程序。许多应用程序存在于用不同语言编写的企业中,例如 C、C++、Java、Flash、Silverlight 或其他编译软件。渗透测试也可以关注这些资产。
  • 无线网络。用于确定 WIFI 是否可以被入侵、设备是否存在过时且易受攻击的软件以及无线网络与其他网络之间是否建立了适当的分段的测试。
  • 移动应用程序(Android、Windows Phone、IOS)。移动应用程序中可能存在漏洞,并且还包括对企业内部托管系统的连接和引用。移动应用程序还可以保存诸如 API 密钥之类的秘密,这些秘密很容易被攻击者利用。
  • 社会工程。在我们下面的场景中进一步描述。
  • 网络钓鱼和网络钓鱼。在我们下面的场景中进一步描述。
  • 物理。渗透测试团队可以尝试看看如果他们带着笔记本电脑出现在某个位置并插入网络连接会发生什么。物理攻击还可以包括针对位置的其他类型的隐蔽攻击。
  • ICS("工业控制系统")/SCADA("监督控制和数据采集")。这些系统通常控制着组织中一些最脆弱和最关键的资产,因此它们应该受到审查。

无知识、部分知识和全知识渗透测试

根据参与情况,组织可以决定向进行渗透测试的团队提供信息。 无知识渗透,有时称为黑盒,意味着攻击者事先获得了无知识。 部分知识,有时称为灰盒测试,意味着攻击者获得了一些知识,并且通过全知识渗透测试,有时称为白盒测试,渗透测试人员可以从源代码、网络图获得所需的一切 、日志等。

一个组织可以为渗透测试团队提供的信息越多,该团队可以提供的价值就越高。


笔记本电脑被盗场景

一个很好的渗透测试场景是证明笔记本电脑被盗或丢失的后果。系统拥有攻击者可以用来进入目标组织的权限和凭据。

系统可能受到密码保护,但存在许多技术可以让攻击者绕过此保护。例如:

  • 系统硬盘驱动器可能未完全加密,从而允许攻击者将硬盘驱动器安装在自己的系统上以提取数据和凭据。反过来,这些凭据可能会被破解并在许多组织的登录页面中重复使用。
  • 用户可能已锁定系统,但用户仍处于登录状态。该用户的应用程序和进程在后台运行,即使它已被锁定。攻击者可能会尝试通过例如 USB 向系统添加恶意网卡。该网卡试图成为系统访问互联网的首选方式。如果系统使用此网卡,攻击者现在可以看到网络流量并尝试查找敏感数据,甚至更改数据。

一旦攻击者可以访问系统,他们就可以开始对其进行突袭以获取信息,这些信息可用于进一步推动攻击者的目标。


社会工程

系统的强大取决于最弱的成员,通常是人类。 社会工程涉及以攻击为目标的用户,试图欺骗他们做他们不打算做的事情。 这种技术非常流行,世界上许多最大的黑客都涉及使用社会工程技术。

社会工程经常试图滥用某些方面来使受害者遵守行为,例如:

  • 大多数人都渴望有礼貌,尤其是对陌生人
  • 专业人士希望表现得见多识广和聪明
  • 如果你被表扬,你往往会说得更多,透露得更多
  • 大多数人不会为了撒谎而撒谎
  • 大多数人都会对看似关心他们的人做出友好的回应

当某人受到良好的社会工程学攻击时,他们通常根本没有意识到自己受到了攻击。


社会工程场景:乐于助人

人类通常希望互相帮助。 我们喜欢做好事!

假设 Eve 跑进一家大型公司办公室的接待处,她的文件浸在咖啡里。 接待员可以清楚地看到 Eve 陷入困境并想知道发生了什么。 Eve 解释说,她将在 5 分钟内进行一次工作面试,她确实需要打印出她的文件以进行面试。

Eve 提前准备了一个恶意 USB 记忆棒,其中包含旨在破坏插入它的计算机的文档。 她将恶意 U 盘递给接待员,并微笑着询问接待员是否可以为她打印文件。 这可能是攻击者感染内部网络上的系统所需要的,从而允许他们破坏(枢转)更多系统。


社会工程场景:使用恐惧

人们经常害怕失败或不按要求行事。 攻击者经常会利用恐惧来试图强迫受害者做攻击者需要做的事情。 例如,他们可以尝试假装是公司董事询问信息。 也许社交媒体更新显示导演正在休假,这可以用来发动攻击。

受害者可能不想挑战导演,而且因为导演正在休假,可能更难核实信息。


社会工程场景:互惠互利

互惠是做某事作为回报,比如对某人表现出善意的回应。

如果我们考虑有人为您挡门,让您进入办公大楼的前门。 正因为如此,你很可能想守住隔壁,让对方回报。 这扇门可能在门禁控制后面,需要员工出示他们的证件,但为了提供同样的善意作为回报,这扇门是开着的。 这称为尾随。


社会工程场景:利用好奇心

人类天生好奇。 如果你在办公楼外的地上发现一个 U 盘,你会怎么做? 插上电源? 如果 U 盘中包含标题为"工资信息 - 当前更新"的文档怎么办?

攻击者可能故意在员工居住区域周围放置许多恶意 U 盘,希望有人将它们插入。

文档可能包含恶意宏或漏洞利用,或者只是诱使用户执行某些操作,从而使他们自我妥协。


网络钓鱼

网络钓鱼是一种通常通过电子邮件进行的技术。 攻击者会试图胁迫和诱骗员工泄露其凭据等敏感信息,或者让他们安装恶意应用程序,让攻击者控制系统。

Phishing

网络钓鱼是攻击者入侵的常用技术,渗透测试人员也可能尝试利用该技术。 永远不要低估网络安全中的人为因素,这一点很重要。 只要有人类参与,网络钓鱼始终是攻击者获取系统访问权限的一种可能方式。

网络钓鱼不应该用来证明人类犯了错误,而是尝试证明这些错误的后果。 它还可用于测试反垃圾邮件过滤器的强度和用户意识。

可以进行多次网络钓鱼尝试的活动,而不是一轮。 多轮网络钓鱼活动可以帮助确定组织的整体意识,并让他们知道不仅攻击者试图欺骗我们的用户,甚至还有安全部门。


钓鱼

Vishing 是指通过电话尝试让毫无戒心的员工为攻击者执行操作。 如果员工认为他们正在与他们认识的人通话,最好是有权威的人,  员工可能会被诱骗执行不必要的操作。

Vishing

这是 伊芙 给 爱丽丝 打电话的例子:

伊芙:你好,这是伊芙小姐打来的电话。 首席执行官玛格丽特告诉我要亲自给你打电话; 她说你会帮忙的。
爱丽丝:好的……我能为你做什么?
伊芙:玛格丽特现在正在旅行,但她迫切要求重置她的密码,这样我们就可以在她着陆的那一刻举行商务会议。
Eve:我们紧急要求重置她的电子邮件密码,以便她能够召开会议。
Eve:你可以继续将她的密码重置为 Margareth123 吗?
爱丽丝:我不确定...
伊芙:拜托,玛格丽特亲自要求你遵守这个要求。 必须现在就做,不然我不想考虑后果...
爱丽丝:好的。 密码已重置

钓鱼可以尝试让受害者进行信息泄露,从而泄露敏感信息。 可能是攻击者要求提供敏感文档或电子表格的副本。