在ph4nt0m邮件列表看到大风发表的了对社工FUZZ高见,有所感悟,便生出了这篇东西。
FUZZ:黑箱测试。在尚未形成对漏洞成因的的黑盒测试。
直白一点,施展社交工程对企业内部薄弱点的测试。这包括人力资源部、财务部、销售部、网络部、客户中心等。既然人是影响的因素,但FUZZ是有目的性,不存在薄弱性的认识,不能因为财务部的重要性放弃而考虑从销售部入手。
矩阵只是一种模型,是死的。人,才是目的。它并不像exploits按规律寻找到一个缓冲区写入非法数据,而是类似三国演义行兵作战考虑天时地利,建立于知已知彼的前提信息。个人观点,FUZZ之前是"扫描"外部信息,这包括:
1.企业注册信息(注册机构);媒介报导信息(报纸、电视、杂志);企业对外信息(网站、公关)
2.垃圾桶(清洁员、垃圾存储点、垃圾处理公司)
脆弱性的分析认识(建立已知信息基础),"扫描"内部信息:
1.以正常身份(普通用户)进入企业,如客户接待中心,询问相关问题获取信息。
2.熟悉大楼布局,参考对外信息(墙上的规章制度、企业价值观念),获取免费的赠送资料,以客户身份取是相关责任人名片。
构造陷阱获取目的信息,"脆弱"性攻击:
1.制造"灾难",向受害者发送大量垃圾邮件,声明网络故障。
2.利用权威可信的身份,声称内部员工,提供可信信息证明(内部网络IP、员工标识)
3.窃听、监控……(安装电子窃听装置、置入后门)
……
在大量实践中,有时候甚至没有规律而按信息的情况攻击,事实绝非是单纯拨打电话设下陷阱。边界(Border)和数据流向(Data
Flow)分析攻击范围(Attack Surface)并不能万能适用于人的FUZZ安全上。安全是有限的,人是无限的。
在攻击之前,我们还得检讨是否满足如下要求:
1.术语
2.掌握专业知识(心理学、人类行为学、企业管理学、法律、智能设备操作……)。
3.技术伪造(图片加水印、通行证)。
4.自信
...
