Road apple social engineering

Социальная инженерия: «Дорожное яблоко»


2 года назад сделал следующую публикацию:

Провел интереснейший эксперимент, хочу поделиться опытом, что бы люди учились на чужих ошибках. Эксперимент из области легендарной «Социальной Инженерии», метод под названием «Дорожное яблоко».

Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании
физических носителей. Злоумышленник может подбросить инфицированный CD, или флэш, в месте, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.
Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью «Заработная плата руководящего состава Q1 2007». Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство, или просто добрый самаритянин отнесёт диск в компанию.

Всё это показалось мне очень интересным и было решено опробовать. Выбрал знакомую мне организацию (название которой не указано по известным причинам) и начал планирование. Решено, что это будет CD диск, на котором будет размещаться, непосредственно, само яблоко. В программной части оно представляло из себя 2 самостоятельные программы:
1. Инсталлер яблока, на который ссылался autorun.ini нашего CD
2. Само яблоко.
Как мне стало известно из предварительных исследований, во всём офисе стоит Kaspersky AntiVirus с модулем Анти-хакер и, соответственно, с встроенным фаерволлом. Т.е. вынос информации через сеть становится проблематичной задачей, решение которой было «пущено лесом». Изначально была идея ограничиться отправкой СМС на телефон содержания типа “Hello form Apple: Mission completed”, но фаерволл испортил такое удовольствие. Коли мы сами не можем отправить уведомление, придется заставить легального пользователя обратиться к нам. Решено, что яблоко не будет нести ни шпионских, ни деструктивных функций. Само Яблоко выполняло 2 функции: создавало текстовое послание на C:\ap.txt и меняло заголовки всех доступных окон и кнопок на «Смотри C:\ap.txt». В послании был текст приветствия, объяснение что и как получилось и «Для КОРРЕКТНОГО УДАЛЕНИЯ этого ПО свяжитесь с…», тем самым увеличивая шансы на обратную связь со мной легальными пользователями, под страхом деструктивных функций при не правильном удалении. Да, была создана функция корректного удаления, но на самом деле вполне можно удалить подручными средствами, не опасаясь за целостность системы =). Учитывая, что там стоит KAV, вполне вероятен был перехват функции hidden install в реестр, поэтому кроме неё сделан мгновенный принудительный запуск Яблока, хотя это и палит инсталлер.

Всё это добро записано на CD-R, осталось только добавить привлекательную надпись на диск. Посоветовавшись с коллегами (благодарности им), ничего более вызывающего любопытство кроме слова «Яблоко» не придумали =). Изначально, по плану было проникнуть на территорию организации и оставить диск на подоконнике в туалете +), но надёжность этого плана оставляла большую тень сомнения. По идее, кто бы ни нашел бы диск на территории организации из персонала, диск обязательно должен быть передан системному администратору для дальнейших разбирательств (на что и рассчитано). Но на практике может быть совсем иначе… Тогда было решено пойти на хитрость и договориться с охраной организации что бы диск с яблоком передали лично в руки системного администратора с описанием того, что диск найден случайно на запланированном подоконнике =). В назначенный день я прибыл в организацию, договорился с охраной, сделал все свои дела и благополучно уехал домой, ожидать последующие несколько дней обратной связи офиса со мной.
Увы, системный администратор не посчитал нужным связаться со мной, но я связался с ним сам и выяснил все подробности произошедшего. Как оказалось, охрана успешно передала диск системному администратору и он успешно вставил его в CD-ROM с ОС MS Windows с не отключенным автозапуском, что привело к успешному запуску инсталлятора Яблока. Но тут начались не предвиденные проблемы. Их система обнаружения вторжения(СОВ) подняла тревогу на этапе принудительного запуска Яблока и заражение системы Яблоком было предотвращено. Т.е. единственная ошибка была в использовании не безопасных алгоритмов при программировании, которые считаются «подозрительными» для СОВ.

Читайте также:  Когда выйдет блютуз для айфона

Хитросозданный диск попал по назначению, диск вставили в «уязвимую систему», сработал автозапуск Яблока, но системы обнаружения вторжений положили его в снег лицом…
В общем, 2 результата:
1. Сам принцип Яблока сработал, запуск его состоялся.
2. Системы обнаружения вторжений запалили Яблоко.

Заключение: если профессионально подходить к программированию Яблока, адаптированного под условия бытия жертвы, то шанс успеха весьма высок. С другой стороны, эксперимент нас многому учит, как не попасться самим на подобные уловки.

Публикация была в марте 2008го. Не прошло и 2 года, как из этой организации мне позвонил уже новый системный администратор и требовал объяснений и ответственности за свои поступки 🙂 Казус заключался в том, что ни записанной идеи, ни исходников у меня не осталось и на требования «корректной инструкции» по удалению мне сказать было нечего. Ну сказал где примерно искать.
Вот так вот бывает: неожиданно потребовалось 2 года для полного выполнения задуманного 😉

Источник

CSINáLJ TöBBET: Ismerje meg a Road Apple Social Engineering támadásait — 2021

Yelawolf — American You (Official Music Video) (December 2021).

  • Yelawolf — American You (Official Music Video) (December 2021).

    Tartalomjegyzék:

    A szocializmust úgy definiálják, mint «a behatolás nem technikai módszere, amelyet a hackerek használnak, és amelyek nagymértékben támaszkodnak az emberi interakcióra, és gyakran magukban foglalják az embereket a szokásos biztonsági eljárások megszakításában. Ez az egyik legnagyobb fenyegetés, amelyet a szervezetek ma találkoznak. «

    Amikor a legtöbben gondolkodnak a szociális technikai támadásokról, valószínűleg az ellenőröket viselő személyeket nézzük, próbálják elérni a korlátozott területeket. Képzeljünk el egy olyan hackert is, aki valaki felkiáltja magát, és úgy tett, mintha technikai támogatást kapna volna, és megpróbálna becsapni valami hülye felhasználóját a jelszó megadásához vagy más személyes adatokhoz, amelyek hasznosak lehetnek a hacker számára.

    Ezek a klasszikus támadások már évtizedek óta láthatóak a tévében és a filmekben. A szociális mérnökök azonban folyamatosan fejlesztik módszereiket és támadási vektorukat, és újakat fejlesztenek. Tipikusan egy nagyon erős motivátorra támaszkodnak: az emberi kíváncsiság.

    Hogyan működik a Road Apple Attack?

    Egy ilyen támadás különösen több névvel megy, de többnyire «Road Apple» támadásnak nevezik. A név eredete nem tisztázott, de a támadás meglehetősen egyszerű. Alapvetően egy klasszikus trójai típusú lövés támadás.

    Читайте также:  Как подключить айфон ноутбуку через wifi

    Egy Road Apple támadásnál a hacker általában több USB flash meghajtót, írható CD-t, DVD-t stb., És fertőzöttek a rosszindulatú programokkal, jellemzően a trójai ló típusú rootkitekkel. Ezután szétszórják a fertőzött meghajtókat / lemezeket az általuk célzott hely parkolójában.

    Remélik, hogy a célzott cégnek egy furcsa munkatársa megtörténik a meghajtóban vagy a lemezen (vagy a Road Apple-en), és hogy a kíváncsiságuk, hogy megtudja, mi van a meghajtóban, felülbírálja biztonsági értelemüket, és elhozza a meghajtót a létesítménybe , illessze be a számítógépébe, és futtassa a rosszindulatú programot akár rákattintással, akár az automatikus végrehajtás révén az operációs rendszer «autoplay» funkciójával.

    Mivel a munkavállaló valószínűleg bejelentkezik a számítógépére, amikor megnyitja a rosszindulatú szoftverrel fertőzött lemezt vagy meghajtót, a rosszindulatú szoftverek megkerülhetik a hitelesítési folyamatot, és valószínűleg ugyanazokkal a jogosultságokkal rendelkeznek, mint a bejelentkezett felhasználó. A felhasználó valószínűleg nem számol be az eseményről, attól tartva, hogy bajba kerül és / vagy elveszíti munkáját.

    Egyes hackerek a dolgokat kínzóbbá teszik, ha a lemezen olyan dolgokat írnak, mint például a «Munkavállalói fizetés és az adatok emelése 2015», vagy valami más, amit a vállalat alkalmazottai ellenállhatatlannak tarthatnának ahhoz, hogy egy második gondolat.

    A rosszindulatú program végrehajtása után valószínűleg «otthoni telefon» lesz a hacker számára, és lehetővé teszi számukra, hogy távoli hozzáférést biztosítsanak az áldozat számítógépéhez (a lemezen vagy a meghajtóban telepített kártevő típusától függően).

    Hogyan lehet megakadályozni az Apple-támadásokat?

    A felhasználók oktatása: A házirendnek soha nem kell telepítenie a telephelyen talált médiát, Néha a hackerek a lemezeket a közös területeken is hagyják. Soha senki sem bízhat semmilyen olyan médiában vagy lemezekben, amelyekről bárhol megtalálhatóak

    Meg kell adni az utasításokat, hogy mindig bekapcsoljanak minden meghajtót, amelyet a szervezet biztonsági személyének talált.

    Tanárok oktatása: A biztonsági rendszergazda soha nem telepítheti vagy betöltheti ezeket a lemezeket egy hálózati számítógépre. Az ismeretlen lemezek vagy média bármilyen ellenőrzésének csak egy olyan számítógépen kell megjelennie, amely elszigetelt, nem hálózati, és a legújabb antivírusdefiníciós fájlokat tartalmazza. Az automatikus lejátszást ki kell kapcsolni, és a média minden rosszindulatú programot meg kell jeleníteni, mielőtt megnyitná a meghajtón lévő összes fájlt. Ideális esetben jó ötlet lenne egy másik vélekedés, hogy a rosszindulatú szoftveres szkenner beolvassa a lemezt / meghajtót is.

    Ha az esemény bekövetkezik, az érintett számítógépet azonnal el kell különíteni, biztonsági másolatot készíteni (ha lehetséges), fertőtleníteni és törölni és betölteni a megbízható médiából, ha ez lehetséges.

    Ismerje meg a Gmail IMAP beállításait

    Keresse meg az összes Gmail IMAP-kiszolgáló beállításait és a kapcsolódó információkat a Gmail-fiókok eléréséhez bármely e-mail programban.

    Hogyan változtasd meg a Facebook nyelv beállításait?

    Szeretné megváltoztatni a Facebook nyelvét angolra vagy valami másra? Kövesse ezeket a lépéseket, ha több mint 100 különböző nyelvet választ.

    Ismerje meg az iPod családot — az Apple iPod felépítését és leírásait

    Az Apple iPod család különböző típusú MP3-lejátszókon átnyúlik. Az Apple iPod, az iPod shuffle és az iPod nano különböző funkciókat kínál, mint a véletlenszerű dal lejátszása, lejátszási listák, MP3 és AAC zenei támogatás és így tovább. Minden iPod egy másik személy felé irányul. Az iPod, az iPod shuffle vagy az iPod nano az Ön

    Источник

    PADARYTI DAUGIAU: Sužinokite apie «Road Apple Social Engineering Attacks» — 2021

    Turinys:

    Socialinė inžinerija apibrėžiama kaip «netechninis įsilaužimo būdas, kurį įsilaužėliai naudoja, kuris labai priklauso nuo žmogaus sąveikos ir dažnai apima žmonių apgaudinėjimą įprastomis saugumo procedūromis. Tai viena iš didžiausių grėsmių, su kuria šiandien susiduria organizacijos. «

    Читайте также:  Знак айфон для ника

    Kai dauguma mūsų galvoja apie socialinės inžinerijos išpuolius, mes galime atrodyti, kad žmonės vaidina inspektorius, bando patekti į ribojamąsias zonas. Mes taip pat galime įsivaizduoti, kad įsilaužėlis kviečia kažką ir apsimeta, kad gauna techninę pagalbą, ir bando sugadinti tam tikrus patikėtinius vartotojus pateikti savo slaptažodį ar kitą asmeninę informaciją, kuri gali būti naudinga įsilaužėliui.

    Šie klasikiniai išpuoliai televizoriuose ir filmuose jau dešimtmečius. Tačiau socialiniai inžinieriai nuolat tobulina savo metodus ir atakuoja vektorius bei kuria naujas. Paprastai jie remiasi labai galinga motyvacija: žmogaus smalsumas.

    Kaip veikia «Road Apple Attack»

    Viena tokio išpuolio būdinga keliems vardams, bet dažniausiai vadinama «Road Apple» ataka. Pavadinimas kilęs neaiškiai, tačiau ataka yra gana paprasta. Tai iš esmės klasikinis Trojos arklys tipo atakas su pasukimu.

    «Road Apple» išpuolio metu įsilaužėlis dažniausiai trunka keletą USB atmintinių, įrašomųjų kompaktinių plokštelių ir kt., Taip pat užkrečia juos kenkėjiškomis programomis, paprastai «rootkit» «Trojos arklys». Tada jie išsklaido užsikrėtusius diskus / diskus visoje vietos, kurioje jie nukreipti, stovėjimo aikštelėje.

    Jų viltis yra tai, kad kai koks įdomus įmonės darbuotojas bus nukreiptas į diską ar diską (arba «Road Apple»), ir kad jų smalsumas sužinoti, kas yra diske, viršys jų saugumo prasmę, ir jie atneš diską į objektą , įdėkite jį į savo kompiuterį ir paleiskite kenkėjišką programinę įrangą spustelėdami ją arba automatiškai ją paleiskite operacinės sistemos «automatinio paleidimo» funkcijomis.

    Kadangi darbuotojas gali prisijungti prie savo kompiuterio, kai jie atidaro kenkėjiškų programų užkrėstą diską arba diską, kenkėjiška programa gali apeiti autentifikavimo procesą ir tikriausiai turės tuos pačius įgaliojimus kaip ir prisijungęs vartotojas. Vartotojas greičiausiai nepraneša apie incidentą dėl baimės, kad jie pateks į bėdą ir / arba praranda savo darbą.

    Kai kurie įsilaužėliai padarys vis didesnius veiksnius, rašydami kažką diske su žymekliu, pvz., «Darbuotojų atlyginimas ir pakelti informaciją 2015» arba ką nors kito, kad įmonės darbuotojas galėtų rasti neatsitiktinai, kad įdėti į savo kompiuterį, nepateikdamas jam antros minties

    Kai kenkėjiška programa bus paleista, ji greičiausiai «nukreips» į namus ir leis jiems nuotolinę prieigą prie nukentėjusiojo kompiuterio (priklausomai nuo kietojo disko tipo, kuris įdiegtas diske ar diske).

    Kaip gali užkirsti kelią «Apple Attacks»?

    Išmokyti naudotojus: Politika turėtų būti niekada, niekada įdiegti žiniasklaidos, kad buvo rasti patalpose, kartais hakerai net palikti diskai viduje bendrose srityse. Niekas niekada neturėtų pasitikėti bet kokia medija ar diskai, kuriuos jie randa

    Jiems turėtų būti duotas nurodymas visada paversti bet kokius radinius, kurie buvo nustatyti organizacijos saugumo asmeniui.

    Išmokti administratorius: Saugumo administratorius taip pat niekada neturėtų įdiegti ar įkelti šių diskų tinklo kompiuteryje. Nežinomų diskų arba laikmenų tikrinimas turėtų vykti tik kompiuteryje, kuris yra izoliuotas, nėra tinkle, ir jame yra įdėta naujausių antimalware apibrėžimo failų. Automatinis grojimas turi būti išjungtas, o žiniasklaidos priemonė turi būti visiškai nuskaityta kenkėjiškų programų prieš atidarius visus diske esančius failus. Idealiu atveju, taip pat būtų gera idėja, kad antroji nuomonė kenkėjiškų programų skaitytuvas nuskaitytų diską / diską.

    Jei įvyksta įvykis, paveiktą kompiuterį reikia nedelsiant izoliuoti, atsargiai (jei įmanoma), dezinfekuoti, išvalyti ir iš naujo įkelti iš patikimų laikmenų, jei tai yra įmanoma.

    Источник

  • Оцените статью