使用中間人攻擊(AiTM)網(wǎng)絡(luò)釣魚(yú)網(wǎng)站的大規(guī)模網(wǎng)絡(luò)釣魚(yú)活動(dòng)竊取了用戶(hù)的密碼,劫持了用戶(hù)的登錄會(huì)話(huà),即使用戶(hù)啟用了多因素身份驗(yàn)證(MFA),也會(huì)跳過(guò)身份驗(yàn)證過(guò)程。然后,攻擊者使用竊取的憑證和會(huì)話(huà)cookie訪(fǎng)問(wèn)受影響用戶(hù)的郵箱,并針對(duì)其他目標(biāo)進(jìn)行后續(xù)的商業(yè)電子郵件攻擊活動(dòng)。自2021年9月以來(lái),AiTM網(wǎng)絡(luò)釣魚(yú)活動(dòng)已嘗試對(duì)1萬(wàn)多個(gè)組織進(jìn)行攻擊。
網(wǎng)絡(luò)釣魚(yú)仍然是攻擊者在試圖獲得對(duì)組織的初始訪(fǎng)問(wèn)時(shí)最常用的技術(shù)之一。在AiTM釣魚(yú)攻擊中,攻擊者在目標(biāo)用戶(hù)和用戶(hù)希望訪(fǎng)問(wèn)的網(wǎng)站之間部署一個(gè)代理服務(wù)器。這樣的設(shè)置允許攻擊者竊取和攔截目標(biāo)的密碼和會(huì)話(huà)cookie,這些cookie可以證明他們與該網(wǎng)站正在進(jìn)行的、經(jīng)過(guò)身份驗(yàn)證的會(huì)話(huà)。不過(guò),這不是MFA中的漏洞。由于AiTM網(wǎng)絡(luò)釣魚(yú)竊取了會(huì)話(huà)cookie,攻擊者將代表用戶(hù)獲得會(huì)話(huà)的身份驗(yàn)證,而不管后者使用的登錄方法。
研究人已檢測(cè)到與AiTM釣魚(yú)攻擊及其后續(xù)活動(dòng)相關(guān)的可疑活動(dòng),如竊取會(huì)話(huà)cookie和試圖使用竊取的cookie登錄到ExchangeOnline。然而,為了進(jìn)一步保護(hù)自己免受類(lèi)似的攻擊,防護(hù)人員還應(yīng)該考慮用條件訪(fǎng)問(wèn)策略來(lái)補(bǔ)充MFA,其中登錄請(qǐng)求使用額外的身份驅(qū)動(dòng)信號(hào)來(lái)評(píng)估,如用戶(hù)或組成員身份、IP位置信息和設(shè)備狀態(tài)等。
AiTM網(wǎng)絡(luò)釣魚(yú)的工作原理
每個(gè)現(xiàn)代Web服務(wù)都會(huì)在成功驗(yàn)證后與用戶(hù)進(jìn)行會(huì)話(huà),這樣用戶(hù)就不必在他們?cè)L問(wèn)的每個(gè)新頁(yè)面上都進(jìn)行驗(yàn)證。此會(huì)話(huà)功能是通過(guò)在初始身份驗(yàn)證后由身份驗(yàn)證服務(wù)提供的會(huì)話(huà)cookie實(shí)現(xiàn)的。會(huì)話(huà)cookie向Web服務(wù)器證明用戶(hù)已通過(guò)身份驗(yàn)證并且在網(wǎng)站上具有正在進(jìn)行的會(huì)話(huà)。在AiTM網(wǎng)絡(luò)釣魚(yú)中,攻擊者試圖獲取目標(biāo)用戶(hù)的會(huì)話(huà)cookie,以便他們可以跳過(guò)整個(gè)身份驗(yàn)證過(guò)程并代表后者采取行動(dòng)。
為此,攻擊者會(huì)部署一個(gè)web服務(wù)器,它將訪(fǎng)問(wèn)釣魚(yú)網(wǎng)站用戶(hù)的HTTP數(shù)據(jù)包代理到攻擊者希望冒充的目標(biāo)服務(wù)器,反之亦然。這樣,釣魚(yú)網(wǎng)站在視覺(jué)上與原始網(wǎng)站是相同的,因?yàn)槊總€(gè)HTTP都是通過(guò)代理來(lái)訪(fǎng)問(wèn)和來(lái)自原始網(wǎng)站。攻擊者也不需要像傳統(tǒng)的網(wǎng)絡(luò)釣魚(yú)活動(dòng)那樣制作自己的網(wǎng)絡(luò)釣魚(yú)網(wǎng)站。URL是網(wǎng)絡(luò)釣魚(yú)網(wǎng)站和實(shí)際網(wǎng)站之間唯一可見(jiàn)的區(qū)別。
AiTM釣魚(yú)過(guò)程如下:
AiTM釣魚(yú)網(wǎng)站攔截認(rèn)證過(guò)程
網(wǎng)絡(luò)釣魚(yú)頁(yè)面有兩個(gè)不同的傳輸層安全(TLS)會(huì)話(huà)與目標(biāo)想要訪(fǎng)問(wèn)的實(shí)際網(wǎng)站。這些會(huì)話(huà)意味著網(wǎng)絡(luò)釣魚(yú)頁(yè)面實(shí)際上充當(dāng)AiTM代理,攔截整個(gè)身份驗(yàn)證過(guò)程并從HTTP請(qǐng)求中提取有價(jià)值的數(shù)據(jù),例如密碼,更重要的是會(huì)話(huà)cookie。一旦攻擊者獲得會(huì)話(huà)cookie,他們可以將其注入瀏覽器以跳過(guò)身份驗(yàn)證過(guò)程,即使目標(biāo)的MFA已啟用。
AiTM網(wǎng)絡(luò)釣魚(yú)過(guò)程目前可以使用開(kāi)源網(wǎng)絡(luò)釣魚(yú)工具包和其他在線(xiàn)資源實(shí)現(xiàn)自動(dòng)化。廣泛使用的套件包括Evilginx2、Modlishka和Muraena。
跟蹤AiTM網(wǎng)絡(luò)釣魚(yú)活動(dòng)
研究人員檢測(cè)到自2021年9月以來(lái)試圖針對(duì)1萬(wàn)多個(gè)組織的AiTM釣魚(yú)活動(dòng)的多次迭代,該活動(dòng)自2021年9月以來(lái)試圖針對(duì)10000多個(gè)組織。這些運(yùn)行似乎鏈接在一起,并通過(guò)欺騙Office在線(xiàn)身份驗(yàn)證頁(yè)面來(lái)針對(duì)Office365用戶(hù)。
根據(jù)分析,這些活動(dòng)迭代使用Evilginx2釣魚(yú)工具作為其AiTM基礎(chǔ)設(shè)施。研究人員還發(fā)現(xiàn)了他們?cè)诠艉蠡顒?dòng)中的相似之處,包括目標(biāo)郵箱中的敏感數(shù)據(jù)枚舉和支付欺詐。
初始訪(fǎng)問(wèn)
在研究人員觀(guān)察到的一次運(yùn)行中,攻擊者向不同組織中的多個(gè)收件人發(fā)送帶有HTML文件附件的電子郵件。電子郵件通知目標(biāo)收件人,他們有語(yǔ)音消息。
帶有HTML文件附件的網(wǎng)絡(luò)釣魚(yú)電子郵件示例
當(dāng)收件人打開(kāi)附加的HTML文件時(shí),它會(huì)加載到用戶(hù)的瀏覽器中并顯示一個(gè)頁(yè)面,通知用戶(hù)正在下載語(yǔ)音消息。但是請(qǐng)注意,下載進(jìn)度條在HTML文件中是硬編碼的,因此沒(méi)有獲取MP3文件。
在目標(biāo)瀏覽器中加載的HTML文件附件
HTML附件的源代碼
相反,該頁(yè)面將用戶(hù)重定向到一個(gè)重定向網(wǎng)站:
重定向網(wǎng)站的截圖
這個(gè)重定向器充當(dāng)了看門(mén)人的角色,以確保目標(biāo)用戶(hù)來(lái)自原始HTML附件。為此,它首先驗(yàn)證url中預(yù)期的片段值(在本例中是用base64編碼的用戶(hù)電子郵件地址)是否存在。如果該值存在,則該頁(yè)面將連接釣魚(yú)網(wǎng)站登錄頁(yè)面上的值,該值也以 Base64 編碼并保存在“l(fā)ink”變量中。
重定向器網(wǎng)站的 < script > 標(biāo)記中包含的重定向邏輯
通過(guò)結(jié)合這兩個(gè)值,隨后的網(wǎng)絡(luò)釣魚(yú)登陸頁(yè)面會(huì)自動(dòng)使用用戶(hù)的電子郵件地址填寫(xiě)登錄頁(yè)面,從而增強(qiáng)其社會(huì)工程誘餌。該技術(shù)也是該活動(dòng)試圖阻止傳統(tǒng)反網(wǎng)絡(luò)釣魚(yú)解決方案直接訪(fǎng)問(wèn)網(wǎng)絡(luò)釣魚(yú) URL 的嘗試。
請(qǐng)注意,在其他情況下,研究人員觀(guān)察到重定向器頁(yè)面使用以下 URL 格式:
在這種格式中,目標(biāo)的用戶(hù)名被用作無(wú)限子域技術(shù)的一部分。
目標(biāo)瀏覽器上加載的規(guī)避重定向器網(wǎng)站
重定向后,用戶(hù)最終以用戶(hù)名作為片段值登陸了 Evilginx2 網(wǎng)絡(luò)釣魚(yú)網(wǎng)站。例如:
網(wǎng)絡(luò)釣魚(yú)登錄頁(yè)面示例
網(wǎng)絡(luò)釣魚(yú)網(wǎng)站代理了組織的 Azure Active Directory (Azure AD) 登錄頁(yè)面,通常是 login.microsoftonline.com。如果組織已將其 Azure AD 配置為包含其品牌,則網(wǎng)絡(luò)釣魚(yú)網(wǎng)站的登錄頁(yè)面也包含相同的品牌元素。
檢索組織的 Azure AD 品牌的網(wǎng)絡(luò)釣魚(yú)登錄頁(yè)面模型
一旦目標(biāo)輸入他們的憑據(jù)并通過(guò)身份驗(yàn)證,他們就會(huì)被重定向到合法的 office.com 頁(yè)面。然而,在后臺(tái),攻擊者截獲了上述憑據(jù)并代表用戶(hù)進(jìn)行了身份驗(yàn)證。這允許攻擊者在組織內(nèi)部執(zhí)行后續(xù)活動(dòng),在本例中為支付欺詐。
支付欺詐
支付欺詐是指攻擊者欺騙欺詐目標(biāo)將支付轉(zhuǎn)移到攻擊者擁有的賬戶(hù)。它可以通過(guò)劫持和回復(fù)正在進(jìn)行的金融相關(guān)的電子郵件進(jìn)行,并誘使欺詐目標(biāo)通過(guò)虛假發(fā)票等方式匯款來(lái)實(shí)現(xiàn)。
研究人員發(fā)現(xiàn),在證書(shū)和會(huì)話(huà)被盜后,攻擊者只需5分鐘就可以啟動(dòng)他們的后續(xù)支付欺詐。在首次登錄釣魚(yú)網(wǎng)站后,攻擊者使用竊取的會(huì)話(huà) cookie 對(duì) Outlook Online (outlook.office.com) 進(jìn)行身份驗(yàn)證。在許多情況下,cookie都有MFA聲明,這意味著即使該組織有MFA策略,攻擊者也會(huì)使用會(huì)話(huà) cookie 代表受感染的帳戶(hù)獲得訪(fǎng)問(wèn)權(quán)限。
尋找目標(biāo)
在 cookie 被盜后的第二天,攻擊者每隔幾個(gè)小時(shí)訪(fǎng)問(wèn)一次與財(cái)務(wù)相關(guān)的電子郵件和文件附件文件。他們還搜索了正在進(jìn)行的電子郵件進(jìn)程,其中付款欺詐是可行的。此外,攻擊者從受感染帳戶(hù)的收件箱文件夾中刪除了他們發(fā)送的原始網(wǎng)絡(luò)釣魚(yú)電子郵件,以隱藏其初始訪(fǎng)問(wèn)的痕跡。
這些活動(dòng)表明攻擊者試圖手動(dòng)進(jìn)行支付欺詐。他們也在云端進(jìn)行了這項(xiàng)工作,他們?cè)?Chrome 瀏覽器上使用 Outlook Web Access (OWA),并在使用被盜帳戶(hù)的被盜會(huì)話(huà) cookie 的同時(shí)執(zhí)行上述活動(dòng)。
一旦攻擊者找到相關(guān)的電子郵件進(jìn)程,他們就會(huì)繼續(xù)使用他們的逃避技術(shù)。因?yàn)樗麄儾幌M槐I帳戶(hù)的用戶(hù)注意到任何可疑的郵箱活動(dòng),所以攻擊者創(chuàng)建了一個(gè)具有以下邏輯的收件箱規(guī)則來(lái)隱藏欺詐目標(biāo)的任何未來(lái)回復(fù):
“對(duì)于發(fā)件人地址包含[欺詐目標(biāo)的域名]的每封傳入電子郵件,將郵件移動(dòng)到“存檔”文件夾并將其標(biāo)記為已讀?!?/span>
進(jìn)行付款欺詐
設(shè)置規(guī)則后,攻擊者立即回復(fù)與目標(biāo)和其他組織的員工之間的付款和發(fā)票相關(guān)的正在進(jìn)行的電子郵件進(jìn)程,如創(chuàng)建的收件箱規(guī)則所示。然后,攻擊者從受感染帳戶(hù)的“已發(fā)送郵件”和“已刪除郵件”文件夾中刪除了他們的回復(fù)。
在執(zhí)行初始欺詐嘗試幾個(gè)小時(shí)后,攻擊者每隔幾個(gè)小時(shí)登錄一次以檢查欺詐目標(biāo)是否回復(fù)了他們的電子郵件。在許多情況下,攻擊者通過(guò)電子郵件與目標(biāo)溝通了幾天。在發(fā)送回回復(fù)后,他們從Archive文件夾中刪除目標(biāo)的回復(fù)。他們還從“已發(fā)郵件”文件夾中刪除了郵件。
有一次,攻擊者從同一個(gè)被攻擊的郵箱同時(shí)進(jìn)行了多次欺詐嘗試。每當(dāng)攻擊者發(fā)現(xiàn)新的欺詐目標(biāo)時(shí),他們就會(huì)更新他們創(chuàng)建的收件箱規(guī)則,以包括這些新目標(biāo)的組織域。
以下是該活動(dòng)基于Microsoft365Defender的威脅數(shù)據(jù)的端到端攻擊鏈總結(jié):
防御AiTM網(wǎng)絡(luò)釣魚(yú)和BEC
此 AiTM 網(wǎng)絡(luò)釣魚(yú)活動(dòng)是威脅如何繼續(xù)演變以響應(yīng)組織為保護(hù)自己免受潛在攻擊而采取的安全措施和政策的另一個(gè)例子。由于去年許多最具破壞性的攻擊都利用了憑據(jù)網(wǎng)絡(luò)釣魚(yú),我們預(yù)計(jì)類(lèi)似的嘗試會(huì)在規(guī)模和復(fù)雜性上增長(zhǎng)。
雖然 AiTM 網(wǎng)絡(luò)釣魚(yú)試圖繞過(guò) MFA,但MFA 實(shí)施仍然是身份安全的重要支柱。MFA 在阻止各種威脅方面仍然非常有效;它的有效性是 AiTM 網(wǎng)絡(luò)釣魚(yú)首先出現(xiàn)的原因。因此,組織可以通過(guò)使用支持 Fast ID Online (FIDO) v2.0 和基于證書(shū)的身份驗(yàn)證的解決方案來(lái)使其 MFA 實(shí)施“抵御網(wǎng)絡(luò)釣魚(yú)”。
防御者還可以通過(guò)以下解決方案免受這類(lèi)攻擊
1.啟用條件訪(fǎng)問(wèn)策略。每次攻擊者嘗試使用被盜的會(huì)話(huà) cookie 時(shí),都會(huì)評(píng)估和執(zhí)行條件訪(fǎng)問(wèn)策略。組織可以通過(guò)啟用合規(guī)設(shè)備或受信任的 IP 地址要求等策略來(lái)保護(hù)自己免受利用被盜憑據(jù)的攻擊。
2.投資于監(jiān)控和掃描傳入電子郵件和訪(fǎng)問(wèn)過(guò)的網(wǎng)站的高級(jí)反網(wǎng)絡(luò)釣魚(yú)解決方案。例如,組織可以利用能夠自動(dòng)識(shí)別和阻止惡意網(wǎng)站的網(wǎng)絡(luò)瀏覽器,包括在此網(wǎng)絡(luò)釣魚(yú)活動(dòng)中使用的網(wǎng)站。
3.持續(xù)監(jiān)控可疑或異?;顒?dòng):
3.1尋找具有可疑特征的登錄嘗試(例如,位置、ISP、用戶(hù)代理、使用匿名服務(wù))。
3.2尋找不尋常的郵箱活動(dòng),例如創(chuàng)建具有可疑目的的收件箱規(guī)則或通過(guò)不受信任的 IP 地址或設(shè)備訪(fǎng)問(wèn)異常數(shù)量的郵件項(xiàng)目。
參考及來(lái)源:https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud/
來(lái)源:嘶吼專(zhuān)業(yè)版