在攻击者进行感染载体阶段都是要结合社会工程学,特别是现在对恶意软件查杀越来越白日化,网民的安全意识越来越强。因此想要成功的高效率大范围进行恶意软件进行部署恶意软件获得更多的僵尸肉鸡(bot),就必须使用更高的社会工程学进行辅助,特别是对特定目标进行攻击却由于目标防护系统部署得比较严密让你觉得无从下手的时候,社会工程学往往会让你“柳暗花明又一村”。所以接下来介绍各种恶意软件的时候将会结合社会工程学进行讲解。
1.1电子邮件/物理媒介传播方式
以前最常用的病毒恶意软件的传播方式就是电子邮箱传播,因为它的传播范围广,速度快,基数大。只要获取邮箱地址就可以以邮箱为介质群发带有恶意软件的附件,然后通过社会工程学对目标进行诱导,诱使目标者下载恶意软件然后双击打开。以我个人经验群发邮件可以迅速将恶意软件进行扩散,但是成功并不高。因为如果群发邮件的话会使得社会工程学诱导方面变的模块化,并针对性很差,只要稍微有点安全意识的目标者都会很容易识别,更严重的是会引起邮服和邮箱服务商的警惕,并将其过滤掉,从而无法进行传播。所以这样的话也会大大缩短这种传播媒介的生命期。
要想使得电子邮件传播方式有更长、更准确的、效率更高就必须牺牲传播速度和传播范围。电子邮件服务商为了提高电子邮件传输的邮件安全性,它设置有附件类型过滤规则,不允许传输属于敏感类型的文件。我记得有一个进行社会工程欺骗时,本想直接将一个恶搞型的.bat文件附上QQ邮箱进行传输,但是却提示附件不能有.bat类型文件,突然将我高涨的激情变的冰点,但是后来灵机一变,将.bat文件进行压缩,然后就以压缩文件形式附上QQ邮箱进行传输。
传输问题解决了,现在就到社会工程学粉墨登场了。以我的恶搞习惯,我会针对每个攻击者的特定喜好进行社会工程诱导,以致使他们上我的钩,例如一个内心强烈期盼有妹子勾搭的男生,那就装扮成一个妹子向他“求救”,后者你装扮成公司工作人员向目标者进行引诱,如果目标者是一个网站管理员,就以某某软件生产商的客服诱使他进行操作……特别需要指出的是社工欺骗手段是瞬息万变,因地制宜而生,不服从某种拘束,只要达到诱使目的就是成功,这样也才能有效的对应电子邮件服务商的查杀过滤,延长传播方式甚至恶意软件的生命周期。
1.2即时通讯方式
这两年最常见的就是QQ被盗。下面浅略解析不法攻击者利用被盗QQ进行不法操作。通常攻击者利用QQ与“自己”的好友聊天,然后直接冒充QQ实际拥有者(下称:拥有者)向他的好友借钱,这是一个目标简单却又有点鼠目寸光,在因为这种方式出现久了,大部分人也就有了一定的自我防护心态很容易识破,所以成功几率并不高。长远的思考的攻击者盗取别人的QQ时,首先是浏览聊天记录,熟悉拥有者与好友的关系类型(闺蜜、铁兄弟、家人、情人、同学、普通朋友)和拥有者的聊天语气习惯用语(这些很重要)。然后先冒充拥有者和好友(特别是经常聊天的)聊天,进行心理延续诱使对方认为攻击者就是拥有者,然后再传输恶意软件诱使对方接收恶意软件然后运行,然后再进行钱财诈骗。
当然现在有很多QQ盗号者目的并没有如此险恶,他盗取别人的QQ这是单纯的窃取受害者QQ绑定的游戏帐号的装备,或者只是想炫耀自己的技术在别人的空间说说发表一个链接(一般是黄色网站/带有的恶意网马的网页诱使其它好友浏览然后进行恶意软件下载或者进行远程代码执行获取肉鸡)或者在相册上传黄色图片进行宣传从而盈利。
1.3社交网络
社交网络传播一般是结合UPL连接两种方法使用,首先攻击者会在XX网盘服务运营商那里申请一个网盘空间,然后上传恶意软件在上面,接着复制它的下载链接,然后到目标社交论坛结合社会工程学欺骗诱导博主或者管理员以及其他访客进行点击连接下载恶意软件,接着将恶意软件自动隐藏在后台安装和运行,甚至修改注册表,使得恶意软件安能够长期有效的进行操作,为了提高成功率以及减少受害者的怀疑,攻击者通常通过社工欺骗抚慰受害者,甚至不惜额外增加工作量达到对诱使受害者所描述的效果。
当然也有直接在社交论坛上上传恶意软件然后结合社工欺骗诱使浏览者下载安装。有很多朋友(网络经验比较单纯)向我诉苦,说想在网站下载一些软件,结果下载安装到的却是百度杀毒软件且很难卸载,有的是某某游戏软件,有的甚至是赤裸裸的恶意软件,本人有时候在网上下载的软件也会出现这样的问题,特别是我还是纯小白的时候。
温馨提示一下,在下载工具的时候下载下来的软件,名是“setup.exe”,那就要小心了,这很可能就是一个远控目标执行文件。
现在比较流行也比较重视的XSS(跨站脚本攻击)也是利用社交网站存在XSS漏洞进行攻击。
1.4 URL连接
URL连接上面已经讲解了不少,就尽量不重复讲述。
上面未提到的URL连接且又是经常出现的就是URL混淆连接欺骗方式。这两年的流行互联网欺诈其中就有URL混淆连接欺骗。攻击者首先申请一个域名,这个域名是与目标主题的域名相近似,以达到混淆效果。攻击者常用的混淆是字母的大小写混淆,字母与数字混淆等方法。
记得以前收到一条冒充联通网上网上营业厅给我发来的短信,说恭喜我我成为联通的感恩回馈活动的幸运用户,将给我返回500元现金,叫我登陆联通官网http://www.1OO1O.com/数填入相关的资料,当初我登陆进去就是出现一个很类似与联通网上营业厅的网站,并提示我输入相关的姓名,银行卡账号、密码,身份证号,首先关键暴露在于输入银行卡密码,这让我警惕起来,然后点击界面上的连接,发现并没有反应,仔细察看才发现整个界面除了让你输入相关信息的文本框之外其它的只是一张图片,这让我更加坚信他就是一个钓鱼诈骗网站,但是乍一看就是联通的网址啊,仔细看才发现端倪,这个网站的网址是将“O”代替“0”混淆受害者误以为这是联通的眷顾。http://www.1OO1O.com/如今这个站已经不存在了,但是代替它的是http://www.1oo1o.com/,这也是一个不良网站,里面有大量的假冒招聘信息,和不良网站连接,有兴趣的可以进去看看,但要防止上当受骗。
收到一天短信,内容上的称呼直署我的名字,说是大街网上有知名企业聘请我去工作,给我附上一个URL连接叫我打开查看http://d-jme/BEIULw,http:// d-jme/otwOZ,由于前一段时间我确实去过一次那鬼地方,再者也居然说出了我的名字,于是我便打开了连接查看一下是怎么回事,结果弹出一个框叫我下载安装一个apk软件,出于警惕没下载,刚想退出就手机就出现异常,蓝屏一下然后自动退出。之后用浏览器打开上述连接却并没有找到相关的网页,因此可以初步推断是大街网出问题且把我的信息泄露出去。真正大街网的主页是下面地:
http://www.dajie.com/corp/1000230/,与短信发给我的连接有很明显的差异,但也属于域名取法规则的URL混淆手法。
淘气鬼/精灵(^_^)(著)
撰写此文谨是浅谈恶意软件传播方式和途径,阐述当前比较流行的社工欺骗,浅谈当前的网络安全技术,揭露当前不法分子利用这种卑劣手段进行欺骗、攻击,提醒广大网民提高安全意思注意保护自身生命和财产安全。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!