阅读量:0
一、信息收集
前言:社工钓鱼往往是攻击者最喜欢的方式,攻击者一般会伪装成求职者、修改邮箱名称伪造办公邮件,诱导意识薄弱的员工进行下载恶意文件或恶意链接,链接往往会通过名称遮掩真实的IP地址。
攻击方:攻击者通过公开资源、社交工程学等手段收集目标组织的基本信息,如域名、IP地址、员工信息等,具体如下:
- 公开资源查询:
攻击者利用搜索引擎、WHOIS数据库、社交媒体等公开资源来收集目标组织的域名、IP地址范围、员工信息等。 - DNS信息收集:
通过查询DNS记录,攻击者可以收集子域名信息、邮件服务器地址、以及其他网络服务配置。 - 社交工程学:
通过与目标组织员工的交流,攻击者可能获取敏感信息或诱使员工泄露密码等安全信息。 - 网络扫描:
使用自动化工具扫描目标IP地址范围,确定哪些主机在线以及开放了哪些端口。 - 漏洞数据库查询:
攻击者查询已知漏洞数据库,寻找目标组织使用的软件和服务的潜在漏洞。 - 钓鱼攻击:
通过发送看似合法的电子邮件,诱导目标用户点击恶意链接或下载附件,从而收集信息或植入恶意软件。
7.物理侦察:
攻击者可能通过物理访问目标组织的场所,收集如Wi-Fi密码、内部网络结构等信息。
防守方:限制公开信息的访问、 对员工进行安全意识培训,防止泄露敏感信息、 使用反向DNS查找服务来识别潜在的攻击者。
- 限制公开信息:
通过隐私保护设置和策略,限制组织信息在公开资源上的可访问性。 - 员工安全培训:
教育员工识别钓鱼攻击和其他社交工程手段,提高对信息泄露风险的认识。 - 使用强密码策略:
实施强密码和定期更换策略,减少密码泄露的风险。 - 监控网络流量:
使用网络监控工具检测异常流量模式,如外部扫描行为。 - 隐藏服务和资产:
使用防火墙和路由器规则隐藏内部服务和资产,避免被外部扫描发现。 - DNS安全:
使用DNSSEC等技术保护DNS记录的完整性和真实性,防止DNS欺骗攻击。 - 信息泄露防护:
实施数据丢失预防(DLP)策略,监控和控制敏感信息的传播。 - 使用入侵检测系统(IDS):
部署IDS来检测和警告潜在的扫描和其他可疑活动。 - 物理安全措施:
确保物理访问控制,如门禁系统和监控摄像头,以防止未授权的物理访问。 - 法律和合规性:
确保组织遵守数据保护法规,限制个人信息的收集和使用。
二、信息收集过程中工具使用
攻击工具及其原理
- Whois查询工具:
通过Whois查询工具,攻击者可以获取域名的注册信息,包括注册人姓名、邮箱等。这些信息可能帮助攻击者进一步了解目标组织的背景和联系信息。
工具示例:站长之家、阿里云域名查询、Kali自带的whois命令。 - DNS信息收集工具:
攻击者通过查询DNS记录,收集子域名信息、邮件服务器地址等。这些信息有助于进一步的网络探测和攻击。
工具示例:Layer子域名挖掘机、subDomainsBrute、御剑、K2。 - 端口扫描工具:
使用端口扫描工具,攻击者可以探测目标网络中开放的端口,识别可能的漏洞和服务。
工具示例:Nmap、Masscan、站长工具。 - 搜索引擎:
利用搜索引擎(如Google)和特定的搜索语法(如Google Hacking),攻击者可以发现目标组织公开的敏感信息,如数据库文件、配置信息等。
工具示例:Google搜索引擎、Google Hacking Database (GHDB)。 - 社交工程工具:
通过社交工程手段,攻击者可以诱导目标用户泄露敏感信息或执行某些操作,从而获取更多信息。
工具示例:Maltego、SpiderFoot。 - 网络侦察工具:
网络侦察工具用于收集目标网络的详细信息,包括IP地址、网络拓扑、服务类型等。
工具示例:Shodan、Lampyre。 - 威胁猎杀工具:
威胁猎杀工具通过主动搜索和分析网络数据,检测并隔离潜在的威胁。
工具示例:AI Engine、APT-Hunter、Automater、BotScout、CrowdFMS、Cuckoo Sandbox、DeepBlue CLI、CyberChef、YARA。
防护措施及其原理
- 监控网络流量:使用网络监控工具检测异常流量模式,如外部扫描行为,及时发现并响应潜在的攻击
- 隐藏服务和资产:使用防火墙和路由器规则隐藏内部服务和资产,避免被外部扫描发现,减少暴露面
- DNS安全:使用DNSSEC等技术保护DNS记录的完整性和真实性,防止DNS欺骗攻击,确保域名解析的安全。
DNSSec通过在DNS响应中添加数字签名来工作。当一个DNS服务器收到一个查询时,它会查找相应的记录,并使用存储在DNS区域文件中的私钥对这些记录进行签名。然后,它将这些签名连同查询的响应一起发送回请求者。当请求者收到响应时,它会使用DNS服务器的公钥来验证签名的有效性。如果签名有效,请求者可以确信响应未被篡改,并且确实来自声称的DNS服务器。
- 信息泄露防护:实施数据丢失预防(DLP)策略,监控数据访问和传输行为,防止敏感数据泄露
- 使用入侵检测系统(IDS):部署IDS来检测和警告潜在的扫描和其他可疑活动,提供实时的安全监控和响应
