鱼叉攻击和水坑攻击之概念篇

对,好久没写了。静坐窗前,熟悉的场景,今天有点夏天的感觉。

HVV刚刚结束,今年重点关注了一下,因为公司也在参与HVV,所以感觉今年的HVV离自己特别近,于是就听到各种相关讯息。今年的两周最后暴了几十个Nday漏洞,以为很多了,听到某安全人员说去年有100多,才知道已经漏洞已经少了许多。除了传统的技术,今年在社工这块真的有些百花齐放,各显神通的感觉。比如无人机窃取信息被打掉的,投递木马U盘的,做假工作牌混入HVV单位被识破的(脑补一下尴尬的场面)。如下两种攻击手法有的会多一点,我总会想到水坑里有鱼。。。

鱼叉攻击:社工的方式很多人都明白,但是真有些防不胜防,比较多的方式还是使用钓鱼邮件,那我们就看看(spear phishing)鱼叉攻击。鱼叉攻击,肯定是有看到了鱼再叉,也就是有针对性的攻击,目标明确,比如公司或团体,给这些特定团体发送包含木马的邮件,这种邮件要让受害者打开,就需要一个欺骗和迷惑的标题。这个题目和内容的构造就考验红方的想象力了。比如打补丁的通知邮件,放假通知安排,投诉举报,简历投递或者来点公司的劲爆信息引爆吃瓜群众。员工点了附件之后,就中了木马,黑客在远端就可以远程控制这个电脑了。

关于邮件木马再多说几句。

(1)我有杀毒软件我不拍。普通用户也许觉得有杀毒软件就可以了,实际可不是这样,一个木马做了处理(就是免杀,可以通过加密,修改头文件,加壳等方式进行免杀)之后,杀毒软件很可能大部分都查杀不了,所以才会一个病毒有那么多变种。(一个免杀可能就贡献了一个变种)。

(2)我不打开exe文件就安全。单纯。很早就有用office的组件来捆绑木马的情况。word和ppt都可以捆绑木马。比如一个word版本的5.1放假通知,正好赶上放假前期,如果再搞定一个公司的邮箱用来群发邮件,那么很可能是有那么几个人点开附件,也就中招木马。这种附件点了以后一样是可以正常打开文件的,只是后台悄咪咪的运行了木马相关的脚本,比如木马下载器,去下载更大的木马,然后黑客就可以远控你的电脑了。

水坑攻击:watering hole。在受害者必经之路设置一个水坑,就是陷进。常见的做法是攻击者分析攻击目标的上网活动规律,经常访问哪些网站,然后利用网站漏洞在其中植入攻击代码,用户访问该网站就中招了。这种方式隐蔽性高,成功率较高。但有一定条件,网站要有漏洞可利用,以便用于部署恶意代码。用户访问被“加工”过的网站时,攻击代码会在客户端植入恶意代码或者直接窃取用户信息,有些就是将用户跳转到其他恶意网站。这些恶意网站中,恶意软件正等待将其与后续的网络钓鱼或勒索软件攻击挂钩。

你可能感兴趣的:(基础知识,网络安全)