黑客更频繁地使用社会工程攻击来获取企业凭证并破坏大型网络。随着多因素身份验证的兴起,这些攻击变得越来越流行的一个组成部分是一种称为MFA疲劳(MFA Fatigue )的技术。
入侵企业网络时,黑客通常使用被盗的员工登录凭据来访问 VPN 和内部网络。
现实情况是,对于威胁参与者来说,获取公司凭证并不是非常困难,他们可以使用各种方法,包括网络钓鱼攻击、恶意软件、数据泄露导致的凭证泄露,或者在暗网市场上购买。
因此,企业越来越多地采用多因素身份验证来防止用户在没有先输入其他验证形式的情况下登录网络。此附加信息可以是一次性密码、要求您验证登录尝试的提示或硬件安全密钥的使用。
虽然威胁参与者可以使用多种方法绕过多因素身份验证,但大多数都是通过恶意软件或中间人网络钓鱼攻击框架(例如 evilginx2)窃取 cookie。
然而,一种称为“MFA 疲劳”(又名“MFA 推送垃圾邮件”)的社会工程技术在威胁参与者中越来越受欢迎,因为它不需要恶意软件或网络钓鱼基础设施,并且已被发现在攻击中是成功的。
什么是 MFA 疲劳?
当组织的多重身份验证配置为使用“推送”通知时,当有人尝试使用其凭据登录时,将在员工的移动设备上显示提示。这些 MFA 推送通知要求用户验证登录尝试,并将显示尝试登录的位置,如下所示。
MFA 推送通知提示
在很多情况下,攻击者会反复推送 MFA 通知,然后通过电子邮件、消息平台或电话联系目标, 伪装成 IT 支持人员以说服用户接受 MFA 提示。
最终,目标变得不知所措,以至于他们不小心点击了“批准”按钮,或者只是接受了 MFA 请求,以结束他们在手机上收到的无穷无尽的通知流。
Lapsus$ 和 Yanluowang 威胁行为者已证明这种类型的社会工程技术在攻破微软、思科和现在的优步等大型知名组织时非常成功。
因此,如果您是一名成为 MFA 疲劳/垃圾邮件攻击目标的员工,并且您收到一波又一波的 MFA 推送通知,请不要惊慌,不要批准 MFA 请求,也不要与声称拥有来自您的组织。
相反,请联系您公司、IT 部门或您的主管的已知 IT 管理员,并说明您认为您的帐户已被盗用并受到攻击。如果可能,您还应该更改您帐户的密码,以防止黑客继续登录并生成进一步的 MFA 推送通知。
更改密码后,攻击者将无法再发送 MFA 垃圾邮件,从而在调查威胁时为您和您的管理员提供喘息的空间。
专业人士的提示
我们不会假装自己是多因素身份验证或身份管理专家,但其他人足够亲切地与我们或 Twitter 分享他们的想法。
安全专家建议禁用 MFA 推送通知,如果无法做到这一点,请启用号码匹配以提高安全性。
Microsoft 的MFA 号码匹配(也称为 Duo 中的验证推送)是一项向尝试使用其凭据登录的用户显示一系列号码的功能。然后必须将这些号码输入到帐户所有者的移动设备上的身份验证器应用程序中,以验证他们是否正在登录帐户。
微软 MFA 号码验证功能
由于只有登录帐户的人才能看到这些数字,因此任何试图说服用户将其输入其身份验证应用程序的尝试都应立即被视为可疑,特别是如果该登录尝试来自另一个国家/地区。
Microsoft计划在该功能普遍可用后不久为所有 Azure Active Directory 租户默认启用它。
另一个建议是限制每个用户 [ Microsoft、DUO、Okta ] 的 MFA 身份验证请求数,当超过这些阈值时,锁定帐户或向域管理员发出警报。
一些人建议企业转向 FIDO 硬件安全密钥来保护登录,但其他研究人员和安全专家担心现在要求采用还为时过早,并且可能与某些在线服务不兼容。
如果您的组织能够克服仅需要安全密钥进行登录的复杂性,那么这可能是您可以采取的提高登录安全性的方向。
最后,我们收到了来自 Microsoft、Okta、Duo 和 CyberArk 的关于减轻这些攻击的建议,我们在下面分享了这些建议。
微软:
在回答我们关于缓解 MFA 疲劳攻击的最佳方法的问题时,Microsoft 的身份安全总监 Alex Weinert 分享了以下提示:
-
Microsoft 强烈建议删除任何依赖于简单批准的因素。批准应要求用户在登录请求上有可证明的上下文。例如,应该要求用户提供往返信息,而不是“按 1 批准”显示在登录请求中,例如“输入您在屏幕上看到的号码”。用户必须输入身份验证请求中提供的信息的经典“OTP”批准非常好,在该身份验证设备上输入屏幕信息的要求也是如此。Microsoft Authenticator 支持带有屏幕上下文(以及有关登录位置、应用程序等的信息)的推送通知,并且需要用户输入屏幕上提供的数据。这是我们推荐的方法,我们的测试证明它在破坏 MFA 疲劳攻击方面非常有效。
-
我们要重申,最有效的机制是避免采用容易进行简单审批的方法。在 Microsoft Authenticator 中,除了上述机制之外,我们还抑制了源自良好用户不熟悉的功能的通知,而是要求用户检查应用程序。这可以通过推送意外通知来防止对手触发的任何不良体验。此外,如果先前的通知被拒绝或未响应,则不良行为者无法在每个时间窗口向给定用户发送多个 Authenticator 无密码通知。如果设备、位置或风险级别不可接受,可以配置访问规则(在我们的产品中为 Azure AD 条件访问)以阻止身份验证继续进行。
-
Azure AD 提供每次登录的风险级别,应调查显示风险的登录尝试以及简单批准的 MFA 方法,以确保未指示 MFA 疲劳攻击。
-
从广义上讲,许多组织已经部署了“分层”MFA,它将电话或短信添加到基于密码的身份验证中。虽然这在阻止攻击方面被证明是有效的,但攻击者正在使用 MFA 疲劳等技术来穿透这些防御。今天,无密码解决方案有效地抵御了这种攻击和更高级的中间对手攻击。我们强烈建议当组织考虑更改其身份验证策略时,他们会转向现代身份验证方法,例如 Microsoft Authenticator、Windows Hello 或行业标准 FIDO 标准。
奥克塔:
Okta 的安全产品总监,Okta 的 Sumit Bahl,也为我们的读者分享了一些关于减少 MFA 垃圾邮件的一般建议:
-
提倡用户教育和用户准备,因为这些可以跨供应商和技术进行扩展。
-
如果事件超过特定阈值,则为您的 SOC 设置阈值并触发警报(无论技术如何,大多数或所有组织都有一个 SOC 来监控他们使用的系统的事件和日志)。
-
转向更高的保证因素,例如 WebAuthn。
对于那些使用 Okta 服务的人,Bahl 还推荐了以下提示:
Okta 的自适应多因素身份验证(Adaptive MFA) 在登录时分析用户的上下文以增强安全性。此方法通过自适应、基于风险的方法考虑设备姿势、用户行为和位置上下文以允许或拒绝访问。如果风险很高,则应提示用户输入强身份验证因素,如 Okta Verify、WebAuthn 等。此外,组织应考虑无密码身份验证选项,以降低 MFA 疲劳攻击的风险。将其与 Okta ThreatInsight 搭配使用,可以为您提供更强大的风险评估工具,因为 ThreatInsight 会分析来自大量来源的数据,以发现可能导致麻烦的风险。
Okta ThreatInsight 充当第一层防御,以阻止针对 Okta 端点的大量基于凭据的攻击。ThreatInsight 在所有登录事件之前评估预身份验证,从而解决帐户锁定问题。因此,当 ThreatInsight 阻止可疑 IP 地址时,来自可疑 IP 的登录尝试不计入用户的登录尝试。这意味着从已知设备访问 Okta 的合法用户仍然可以访问他们的帐户。
基于风险的身份验证 识别用户尝试登录的上下文,并通过在场景需要时实施更强大的身份验证技术和补救措施,使组织能够自动化安全。当用户尝试登录时,基于风险的身份验证(自适应 MFA 的一项功能)会根据上下文提示(例如他们的位置、设备和 IP 地址)为尝试分配风险评分。根据风险级别,该解决方案可以拒绝访问或提示用户提交更强的身份验证因素以防范潜在的违规行为。
赛博亚克:
Cyberark的红队服务副总裁,Cyber ark 的 Shay Nahari也提供了有关加强 MFA 和防止 MFA 疲劳的提示。
“MFA 疲劳只是一种特定类型的 MFA 攻击。随着攻击者不断创新,他们正在寻找针对 MFA 并规避关键安全控制的新方法。减轻 MFA 疲劳的一种方法是将组织的 MFA 设置或配置切换为需要一次性密码 (OTP) 与推送通知。当面对重复的身份验证消息和接触点时,用户通常会变得粗心,并在不知不觉中为攻击者创造机会。虽然 OTP 需要用户更多参与,但它可以降低与MFA 疲劳。此外,端点权限管理解决方案 [如 CyberArk Endpoint Privilege Manager] 可以帮助防止 cookie 被盗,从而使攻击者可以绕过 MFA 控制。在防御策略的总体方案中,可以保护客户端凭据的端点权限管理是一个重要的层。
此外,SOC 可以设置基于异常的触发器,在超过某些阈值时通知它,或者阻止来自可疑 IP 地址的用户身份验证。
作为团队的对手模拟练习的一部分,我们研究了不同类型的检测,包括硬性妥协指标 (IOC)。硬 IOC 是特定攻击的基础。在 MFA 疲劳的情况下,攻击者已经可以访问凭据,并且需要请求用户批准 MFA 通知才能获得访问权限。如果一个组织成功阻止了 MFA Fatigue,攻击者将被迫选择另一条攻击路径。OTP 配置可以使用户不太容易受到此类攻击,并显着降低风险。”
Duo:
当我们询问 Duo 关于阻止攻击(被 Duo 称为“推送网络钓鱼”)的建议时,他们推荐了这篇文章:
https://help.duo.com/s/article/7615?language=en_US
推动网络钓鱼防御和最佳实践的指南
原文始发于微信公众号(网络研究院):黑客在备受瞩目的违规行为中最喜欢的新策略
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论