与传统的基于网络中间人攻击（MitM）不同，现代网络会话劫持是一种基于身份的攻击，通过公共互联网针对云应用和服务。攻击者的目标没有变：窃取有效的网络会话数据，如Cookie、令牌、ID，以便在攻击者的设备上恢复网络会话。现代网络会话劫持在规避加密通信、VPN或MFA等基本控制措施方面更为可靠。

三、网络会话劫持技术2.0的具体方法

现代网络会话劫持技术2.0主要通过两种方式实现：利用先进的网络钓鱼工具包和针对浏览器数据的攻击工具。

1.使用现代网络钓鱼工具包（AitM和BitM）

• AitM（攻击者即中间人）：这种工具包允许攻击者建立一个代理服务器，受害者在不知不觉中通过这个代理进行认证。当受害者输入他们的登录信息和MFA令牌时，这些信息被攻击者截获。AitM攻击通常与网络钓鱼活动结合使用，攻击者通过发送看似合法的电子邮件或短信，诱使受害者点击链接并重定向到攻击者控制的恶意网站。
• lBitM（浏览器即中间人）：BitM攻击更为复杂和隐蔽，它通过社会工程手段诱使受害者下载并运行恶意软件，该软件可以远程控制受害者的浏览器。攻击者可以实时监视受害者的屏幕，获取他们输入的任何信息，包括登录凭据和MFA令牌。

2.使用信息窃取器

• 信息窃取器：这类工具通过各种手段感染用户的设备，如恶意软件、木马、键盘记录器等。它们的主要目的是窃取用户的浏览器Cookie、保存的登录凭据、个人信息和其他敏感数据。信息窃取器可以针对所有主流浏览器，包括Chrome、Firefox、Safari等。
• 攻击途径：信息窃取器的传播途径多样，包括但不限于：

（1）感染网站或插件：攻击者通过在网站上注入恶意代码或利用网站插件的安全漏洞来感染访问者的设备。

（2）恶意广告（Malvertising）：通过在网络广告中嵌入恶意代码，当用户浏览含有这些广告的网站时，恶意软件就会被下载到用户的设备上。

（3）P2P下载站点和游戏论坛：在这些平台上分享的文件或链接可能包含恶意软件。

（4）社交媒体广告和公共GitHub仓库：攻击者可能利用这些平台传播携带恶意软件的链接或代码。

信息窃取器的攻击也不局限于单一应用或服务，它们可以窃取保存在浏览器中的所有网络会话Cookie，这意味着攻击者可以尝试访问用户的所有在线账户。即使某些应用实施了严格的安全措施，如IP锁定，攻击者仍然可以尝试其他应用，因为不是所有的应用都有同样级别的保护。

四、检测响应及建议

防止网络会话劫持的控制措施包括防止恶意软件的传递、运行时的检测以及检测未授权的网络会话。然而，这些措施并非万无一失，特别是当攻击者使用复杂的策略和工具时。为了提高检测能力，一些安全团队已经开发出新的防御措施，例如在浏览器中注入独特的标记，以检测攻击者是否使用了被盗的网络会话令牌。这种方法可以作为最后一道防线，防止任何其他类型的账户接管攻击。

参考链接：

https://thehackernews.com/2024/09/session-hijacking-20-latest-way-that.html

原文始发于微信公众号（白泽安全实验室）：攻击者绕过MFA的最新方式—网络会话劫持技术2.0