欢迎您注册蒲公英
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
本帖最后由 蒲公英 于 2015-9-12 03:58 编辑
本文为蒲公英巍信智会主题分享 作者:@mmorpheus ,转载请与作者联系。
这次网络安全的安全是针对一个制药企业的研发部门的安全渗透的真实安全案例…下面是具体的内容…大家可以当故事听听…
起因是A研发公司得知B公司的研发部门在做相同的研发药品,但是B已经成功的得到了一些进展,因此找了一个黑客团队对其对手B进行渗透…
黑客团队在进过对B公司的网络进行扫描,发现其公司的网站是属于托管,并没有内部的服务器,但是网站和漏洞有所发现,为考虑后期的渗透,将漏洞利用,并在上面挂一个木马…木马是团队自己编写的…但是目前未知的是B公司的网络内部使用的杀毒软件是会很,因此无法针对进行免杀处理…只是做了简单的全免杀处理…经过一个星期的等待,发现木马被后面管理员下载了,但在机器上只运行一下,就别杀毒软件杀了…因此无效…而且还发现之前的网络漏洞也被发现并补上了…因此入侵停顿了
后来他们去了B公司的大门附近进行汽车Wifi攻击测试,发现可以搜索到wifi信号…xingzheng…加密方式是wpa2…于是开始使用工具进行字码加密的获取…经过攻击得到加密后的密码…使用彩虹表数据进行对撞破解…时间漫长,而且有不确定性…于是变换攻击方式… 在大门周边的时候,发现有好多公司的员工会在门呼叫呼叫吸烟,于是第二个方案就是想办法进行对话攻击,也就是社工,目的是了解其使用的杀毒软件…以及更多的电脑拓普信息…
在通过递烟,(吸烟的人可能都知道这是对于烟民来说最好的沟通方式)假装成一个电脑软件的推销人员,询问了一个穿着相对自由的人员… 通过对话,巧妙的得到了杀毒软件是国外的小红伞…还有一些领导的名字…
于是对自己的木马进行重新编写…针对小红伞进行免杀后,这次改使用大量的U盘进行物理攻击…方法是,在人员经常经过的地方大门口投放U盘,同时利用之前得到的相关部门领导的名字,做了一个假装推销设备的人员…进了单位后,在实验大楼附近也分散的投下了U盘…这些投下的U盘里面有一个自动运行的木马程序… 在等待U盘被捡到并运行的过程中,通过那次设备的推销得到了设为部门领导的邮箱,并且通过社工手机等信息成功得到了邮箱的密码…进而得到了其公司及设备部门的邮箱列表,在一封行政部门的群邮件中发现了研发部门领导的邮箱…
同时随着时间的延长,U盘中的木马被陆续的运行上线,终于得到了一台内部的计算机,可惜是一台车间的电脑…通过对电脑的IP地址分析,以及电脑中安装的ERP软件的分析,发现其IP地址划分,同时记录了这台电脑上登陆的邮箱等密码…
由于车间与研发部门有一定的联系,因此在截获一次车间与研发部门的邮件后,制作了一个电子表格,以车间的邮箱,以数据整理为标题发送了一个木马,同时取消了正在发送的邮件并保存(这就是中间人攻击方式),然后成功获得了一台研发部门的电脑控制权…
可这台电脑只是用来邮件沟通,不是进行工作的…因此无法获利想要的数据…而且这台电脑设置中发现无法使用未知U盘…于是通过嗅探,得到了其它电脑的拓普图…并且得到了部门中常用的邮箱,邮件…
时间漫长,最终发现其中项目的主管为保证进度有在单位使用自己的笔记本进行工作的方式…这是通过对网内电脑mac地址嗅探得到的…
于是成功入侵这台个人的PC,但是发现其使用VPN进行内部连接…后面的工作就是通过社工的方法成功得到了VPN的密码,具体的方法是使用一次邮件沟通,伪造了一名员工需要内部资料进行数据计算的机会,伪造邮件获取…之后就是成功获取了想要的资料
这是一次真实的安例,不过不是国内的,是一次研发机构雇佣一个安全团队对自己公司的安全渗透,以发现漏洞…时间长达三个月…
在这次Apt攻击中,可以让我们注意的是,捡到的u盘会不会插到你工作的机器上呢?你的邮件是否被问询过包含过敏感信息的内容(最常见的就是简历邮件)
完……
巍信智会,实行会员制,入会会费,人民币99元, 继续仍然坚持每周五20:00进行主题分享, 也可以关注巍信公众账号,一个只分享原创的微信号。
| 
|手机版|蒲公英|ouryao|蒲公英
( 京ICP备14042168号-1 ) 京ICP证150354号 互联网药品信息服务证书编号: (京)-非经营性-2024-0033
发表于 2015-9-11 22:52:13
置顶卡
变色卡
发表于 2015-9-12 19:14:43
