网络安全没有灵丹妙药。用户希望创建防黑的安全控制措施,但攻击者总能找到绕过防御的方法。多因素身份验证 (MFA),就是一个很好的例子。作为业界常用的网络安全最佳实践,MFA在防止攻击方面表现出色,但并非万无一失。目前常见的MFA绕过方法不外乎几种, 社会工程学绕过MFA;使用开放授权(OAuth)绕过MFA;使用蛮力绕过MFA;使用早期生成的令牌绕过MFA;使用会话Cookie或中间人绕过MFA;使用SIM-Jacking绕过MFA。最近名声在外的Lapsu$攻击组织,就擅长使用社会工程和收买内部工作人员的攻击套路。只需问问2021年由于Coinbase的MFA系统存在缺陷而导致账户遭到黑客攻击而丢失加密货币的6,000名客户。这就是为什么企业不能依靠单一形式的案例防御来保护自己。相反,他们需要分层防御措施。使用人工智能建立基于行为模型的参考标准,以此来寻找针对整个组织的攻击。它警告公司将这些防御层层加码,让他们有足够的机会发现和减轻攻击。
利用网络钓鱼的MFA绕过
与Coinbase事件一样,许多MFA绕过攻击始于网络钓鱼。攻击者需要基本的身份验证因素--用户的电子邮件地址和口令 --甚至试图劫持帐户。
通过虚假电子邮件和网站对这些细节进行网络钓鱼是一种日益增长的攻击向量。根据Verizon的数据泄露调查报告(DBIR) ,这类攻击是2021年36%的泄露事件的组成部分,高于前一年的25%。组织使用MFA来保护用户免受这些攻击。有了 MFA,仅仅窃取口令是不够的。它需要另一个因素——你拥有的东西(如智能手机或硬件令牌)或你的东西(生物识别技术)来确认你的身份,然后才能让你进入。理论上,攻击者必须在劫持你的帐户之前获得该第二因素。
在实践中,攻击者已经找到了许多绕过MFA的方法。其中之一是在网络钓鱼过程中收集MFA有关的详细信息。如果一个网络钓鱼网站足以欺骗受害者输入他们的详细信息,那么他们可能也会许可它发送的任何MFA消息。
这是典型的中间人操纵 (MITM) 攻击。恶意站点冒充合法站点并引诱受害者提交其认证凭据,然后它使用这些凭据访问真实站点。合法站点会发送一个MFA请求作为回应,网络钓鱼站点会将其传递给受害者。当受害者使用他们的第二个因素许可它时,攻击者然后使用Evilgenix之类的工具窃取用户的会话cookie,然后将2FA 代码提交到合法站点。
Evilgenix只是用于自动化网络钓鱼和MFA绕过攻击的一种工具。Mariana是一个透明的反向代理,可捕获凭据和会话cookie。然后,它将这些信息传递给 Necroses,后者使用它们模拟受害者,使用基于容器的Chrome浏览器,使被盗会话保持活动状态。
对SMS MFA的攻击
虽然MITM攻击将自己置于用户面前,但另一种方法是完全取代受害者。这就是SIM卡交换的工作原理。它依赖于用于向智能手机发送密钥的带外SMS通道中的缺陷。
SIM卡就像您用来访问蜂窝网络的数字密钥。SIM交换器会将密钥从受害者的 SIM切换到攻击者自己的。此时,他们的手机代替了受害者在网络上的手机、电话号码等等。
SIM交换犯罪分子通过向运营商拨打社会工程电话或通过为电信公司工作的想要快速获利的内部人员来进行这种改变。即这里有两种方法,一种是通过掌握足够多的社会工程信息让运营商信任。第二种则是收买电信公司的内部人员来个里应外合。
越来越多的有组织的团体会派青少年突袭运营商的商店,抢走经理的平板电脑,然后将其交给同伙,在运营商冻结经理的访问权限之前,他们将使用它来切换尽可能多的SIM卡。他们将在实时论坛中接受这些SIM卡交换的订单。暗网日记对该过程进行了详细的分类。
短信的攻击面很难管理。过去,研究人员还找到了利用SS7蜂窝路由协议中的缺陷来选择基于SMS的MFA的方法。然而,即使NIST(美国国家标准和技术研究所)在五年前就警告不要使用SMS进行身份验证,人们仍在继续这样做。
FBI在2019年9月通过私营行业通知警告了这个问题。它警告说,它已经在野外看到了MFA规避。它报告了几起SIM卡交换案例,其中包括2016年的一起美国银行客户受到攻击的案例。
肇事者窃取了受害者的电话号码,然后用它们打电话给银行并要求电汇。银行将该号码识别为客户的号码,跳过了安全问题并通过短信发送了一次性口令。攻击者还更改了客户的PIN和口令,并将他们的信用卡号附加到移动支付应用程序中。
利用脆弱的基础设施
FBI的私人通知还强调了MFA的另一个常见问题:网站漏洞。它描述了2019 年的一起事件,攻击者使用被盗的客户凭据登录美国银行。当网站要求提供PIN码时,犯罪者更改了网站URL参数,以将他们的计算机标识为帐户中可识别的计算机。该网站在没有强迫他们输入PIN的情况下挥手让他们通过。
其他漏洞存在于用于对用户进行身份验证的协议和工具中。2020年,研究人员发现黑客使用WS-Trust(一种用于管理安全令牌的OASIS标准协议)滥用 Microsoft 365帐户。攻击者可以使用此协议通过操纵请求标头来欺骗他们的IP地址来完全绕过MFA。他们还可以更改用户代理标头,以使身份提供者相信他们正在使用Microsoft的现代身份验证,这是一种使用MFA和数字令牌进行身份验证的协议。Microsoft于2020年2月取消了对WS-Trust的支持。
有时,其他软件缺陷会使MFA解决方案的组件易受攻击。在2021年12月与企业单点登录和ID管理公司Okta看到了这一点,该公司警告说Log4j漏洞影响了其 RADIUS服务器代理和本地MFA代理。
依赖管理员错误和内部恶意用户
有时,根本不需要代码漏洞;简单的错误配置就可以解决问题。这就是2021 年发生的事情,当时国家资助的俄罗斯黑客获得了访问受MFA保护的非政府组织的权限。
他们通过暴力破解受害者的口令进入,结果证明这是可以预测的,使其容易受到字典攻击。该账号本应受到非政府组织MFA系统的保护,但该用户已很久没有访问该账号。
非政府组织取消了未使用的帐户的注册,即使它仍然处于活动状态。MFA系统的默认配置允许攻击者为自己的设备注册MFA服务,从而使他们能够访问NGO 的网络。这个事件影响重大,足以引发另一次政府警告。
其他技术包括简单地向具有受信任访问权限的人付款,以帮助攻击者使用他们的MFA帐户登录。根据微软的分析,这是Lapsu$攻击组织用来访问受MFA保护的系统的一种技术。
Lapsu$还使用被盗口令向个别目标发送垃圾邮件,并不断请求MFA许可。一些MFA服务只是简单地ping个人的设备,要求他们批准登录。经常这样做,分心的用户可能会批准请求,而不是怀疑攻击,从而使烦人的消息消失。
多层纵深防御必不可少
当有人突破像MFA这样的可信防线时会发生什么?希望其他保护层也能发挥作用。早期检测很重要,这样安全团队才能快速做出反应。
选择或绕过MFA的攻击者尽最大努力在防御者的监测雷达之下行走,看起来很正常,这样管理员就不会发现任何危险信号。
专家认为,这就是基于规则的系统崩溃的地方。如果您正在寻找特定的、已知的入侵迹象,那么成功使用MFA并保持低调的攻击者将很难被发现。
基于行为识别的方法,可能并不会寻找具体的攻击指标,而是假设冒名顶替者最终会做一些不寻常的事情。他们必须这样做,因为他们的目标是使用该帐户进行非法活动。采用非常规的方法来发现与正常行为的偏差。它不是寻找已知的恶意迹象,而是采用广阔的视野,调查数千个日常数据点,形成正常行为轨迹的参考线。
这种技术使用机器学习来创建遥测的统计模型。然后,它将新活动与该模型进行比较,以发现模式偏差。从这个意义上说,人工智能不仅仅是一层额外的保护,而是一个复杂的传感器组合,可以监视跨多个域的可疑活动。
目前使用这种技术比较成熟的公司是英国的Darktrace,一个经典的案例是:使用该技术Darktrace在去年将其一位客户从绕过MFA的网络钓鱼攻击中解救出来。攻击者以金融客户的Microsoft 365帐户为目标,使用钓鱼凭据,但不知何故更改了受害者的注册电话号码。这使攻击者能够接收Microsoft的MFA文本身份验证消息。
在获得对该帐户的访问权限后,攻击者更改了其电子邮件规则并共享了多个收件箱。他们还从用户的电子邮件历史记录中访问了多封邮件,并删除了几封邮件以掩盖他们的踪迹。
Darktrace公司的Cyber AI Analyst产品,可以发现异常行为并自动分析威胁。该产品还扫描Microsoft 365等SaaS帐户,构建事件的自然语言摘要并将其发送给人类分析师。这使客户能够采取行动。
随着攻击者变得越来越狡猾,防御者将需要更多的保护层来发现和消除入侵。MFA会有所帮助,但它不是100%防黑必杀技,无论如何,只有五分之一的企业使用它,企业拥有的集成保护越多,效果就会越好。
参考资源:
1.https://www.theregister.com/2022/04/07/mfa_defense_in_depth/
2.https://securuscomms.co.uk/how-hackers-bypass-two-factor-authentication/
原文来源:网空闲话
原文始发于微信公众号(关键基础设施安全应急响应中心):多因素认证(MFA)并非无懈可击!MFA失效时,多层纵深防御才是救命稻草!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论