近期,Cisco和Uber两家巨头企业相继被黑客攻破导致严重数据泄露事件。通过互联网上的公开资料和安全专家分析,这两起攻击中黑客利用的都是MFA疲劳攻击突破企业防线渗透到内网。
什么是MFA疲劳攻击?
攻击者是如何利用这种攻击方式突破MFA验证的呢?
本文将带您解读事件背后的故事
事件1
Cisco VPN被攻破导致数据泄露
01
事件概要
2022年8月,国内一些媒体报道称,Cisco内网遭到阎罗王勒索软件团伙入侵。攻击者窃取到一名员工的谷歌账号,通过浏览器同步的账密获得了Cisco内网VPN账号,之后利用语音钓鱼电话获得了该员工的二次验证码,从而进入内网实施窃密。黑客声称窃取到2.75GB数据,约3100个文件,其中不少文件为保密协议、数据转储和工程图纸。
02
VPN账号密码哪里来
黑客通过入侵Cisco员工的个人谷歌帐户获取到VPN账号密码。由于该员工在Google Chrome启用了密码同步,并将其Cisco凭据存储在浏览器中,因此这些信息能够同步到谷歌帐户。由此可见,不要将重要账号密码同步到Chrome浏览器,因为谷歌的个人账号相对并不安全。
03
MFA如何被突破
新型的VPN基本都会开启MFA多因子认证,据报道黑客利用语音钓鱼电话获取该员工的二次验证码。真实情况是这样吗?查看Cisco自己的调查报告可以看到,攻击者以各种受信任的组织为幌子进行了一系列复杂的语音网络钓鱼攻击,试图说服受害者接受其发起的多因素身份验证推送(MFA push)通知。Cisco收购了Duo,因此使用Duo多因子的push通知。只要受害者被骗在自己的设备上轻轻点击一下,攻击者就可以获得授权。
语音社工太成功了,受害者成功被说服,攻击者通过VPN顺利进入了Cisco内网。
事件2
Uber VPN被攻破导致数据泄露
01
事件概要
9月15日,一名18岁黑客声称已成功入侵Uber系统,下载了HackerOne的漏洞报告,并分享了Uber内部系统、电子邮件、Slack服务器的截图。
截图显示,黑客已经成功访问了Uber的许多关键IT系统,包括企业安全软件和Windows域。黑客访问的其他系统包括Uber的亚马逊网络服务配置、VMware vSphere/ESXi虚拟机,以及Google Workspace用于管理Uber电子邮件帐户的管理界面。
02
VPN账号密码哪里来
Uber相关员工感染恶意软件,信息被泄露到黑市。黑客从网络黑市购买到这份泄露数据,挑出对他们有用的信息以及合适下手的人。
03
MFA如何被突破
Uber的VPN也开启Duo类似的push认证。在一小时内,攻击者给受害者不停触发push认证,并且通过WhatsAPP伪装成Uber的IT人员,告诉受害者必须接受才能停止推送。类似于Cisco事件,受害者成功被说服,攻击者同样通过VPN进入到Uber内网。
分析:关键的MFA疲劳攻击
黑客不停的触发登录批准请求推送通知到受害者的设备上,一般来讲受害者是不会立刻去点击授权,而是心中在纳闷:什么情况,这是怎么回事?这时候受害者的信任程度只有30%左右。
然后攻击者做了重要的一步,就是通过一些社会工程学的方式联系到受害者,扮演公司的IT管理人员通知受害者:你的系统出问题了,必须接受通知才能停止推送,才能修复问题。
出问题了,IT管理员及时来联系处理,受害者心里大概率会认为:一定是我们自己的IT管理员,不然不可能这么快知道我这边出问题了,而且还能指名道姓准确说出我的姓名和部门。此时受害者信任程度飙升到80%左右,因此很多员工都会按“假管理员”所要求的执行。
思考:重夺用户信任,抵御MFA疲劳攻击
我们认为,重夺用户的信任,对抗MFA疲劳攻击应是一个整体工程。
更严格的登录策略
总结
小Tip:
什么是MFA
参考阅读:
Cisco Talos shares insights related to recent cyber attack on Cisco
(https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html)
网络巨头思科遭数据勒索:VPN访问权限被窃取,2.8GB数据泄露
(https://www.secrss.com/articles/45718)
原文始发于微信公众号(虎符网络):Cisco和Uber接连被黑 | MFA疲劳攻击引发的思考
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论