|
网络钓鱼仍然是攻击者在尝试获得对组织的初始访问权限时最常用的技术之一。根据2021 年 Microsoft 数字防御报告,网络钓鱼攻击的报告在 2020 年翻了一番,而网络钓鱼是我们在威胁信号中观察到的最常见的恶意电子邮件类型。MFA 提供了一个额外的安全层来防止凭证盗窃,预计会有更多的组织采用它,尤其是在政府强制要求它的国家和地区。不幸的是,攻击者也在寻找新的方法来规避这种安全措施。 在 AiTM 网络钓鱼中,攻击者在目标用户和用户希望访问的网站(即攻击者希望冒充的网站)之间部署代理服务器。这样的设置允许攻击者窃取和拦截目标的密码和会话 cookie,以证明他们与网站的持续和经过身份验证的会话。请注意,这不是 MFA 中的漏洞;由于 AiTM 网络钓鱼会窃取会话 cookie,因此攻击者会代表用户对会话进行身份验证,而不管后者使用何种登录方法。 微软 365Defender检测与 AiTM 网络钓鱼攻击及其后续活动相关的可疑活动, 例如会话 cookie 盗窃和尝试使用被盗 cookie 登录 Exchange Online。但是,为了进一步保护自己免受类似攻击,组织还应考虑使用条件访问策略来补充 MFA,其中使用其他身份驱动信号(如用户或组成员身份、IP 位置信息和设备状态等)评估登录请求. 虽然 AiTM 网络钓鱼并不新鲜,但我们的调查使我们能够通过来自微软 365后卫。这些观察也让我们改进和丰富了我们的解决方案的保护能力。因此,这场运动也凸显了制定综合防御战略的重要性。随着威胁形势的发展,组织需要承担漏洞并了解其网络和威胁数据,以获得对复杂的端到端攻击链的完整可见性和洞察力。 在本博客中,我们将分享我们对此次网络钓鱼活动以及攻击者尝试的后续付款欺诈的技术分析。我们还将为防御者提供有关保护组织免受此威胁以及 Microsoft 安全技术如何检测它的指导。 AiTM 网络钓鱼的工作原理 每个现代 Web 服务都会在成功验证后与用户进行会话,这样用户就不必在他们访问的每个新页面上都进行验证。此会话功能是通过在初始身份验证后由身份验证服务提供的会话 cookie 实现的。会话 cookie 向 Web 服务器证明用户已通过身份验证并且在网站上具有正在进行的会话。在 AiTM 网络钓鱼中,攻击者试图获取目标用户的会话 cookie,以便他们可以跳过整个身份验证过程并代表后者采取行动。 为此,攻击者部署了一个网络服务器,该服务器将来自访问网络钓鱼站点的用户的 HTTP 数据包代理到攻击者希望冒充的目标服务器,反之亦然。这样,网络钓鱼站点在视觉上与原始网站相同(因为每个 HTTP 都代理到原始网站和从原始网站传出)。攻击者也不需要像在传统网络钓鱼活动中那样制作自己的网络钓鱼网站。URL 是网络钓鱼站点和实际站点之间唯一可见的区别。 下面的图 2 说明了 AiTM 网络钓鱼过程:
网络钓鱼仍然是攻击者在尝试获得对组织的初始访问权限时最常用的技术之一。根据2021 年 Microsoft 数字防御报告,网络钓鱼攻击的报告在 2020 年翻了一番,而网络钓鱼是我们在威胁信号中观察到的最常见的恶意电子邮件类型。MFA 提供了一个额外的安全层来防止凭证盗窃,预计会有更多的组织采用它,尤其是在政府强制要求它的国家和地区。不幸的是,攻击者也在寻找新的方法来规避这种安全措施。 在 AiTM 网络钓鱼中,攻击者在目标用户和用户希望访问的网站(即攻击者希望冒充的网站)之间部署代理服务器。这样的设置允许攻击者窃取和拦截目标的密码和会话 cookie,以证明他们与网站的持续和经过身份验证的会话。请注意,这不是 MFA 中的漏洞;由于 AiTM 网络钓鱼会窃取会话 cookie,因此攻击者会代表用户对会话进行身份验证,而不管后者使用何种登录方法。 据说攻击者在 Chrome 浏览器上使用 Outlook Web Access (OWA) 进行欺诈活动,同时还从帐户的收件箱文件夹中删除原始网络钓鱼电子邮件以及与存档中目标的后续通信和已发送邮件文件夹以擦除痕迹。 研究人员说:“这次 AiTM 网络钓鱼活动是威胁如何继续发展以应对组织为保护自己免受潜在攻击而采取的安全措施和政策的另一个例子。” “虽然 AiTM 网络钓鱼试图绕过 MFA,但重要的是要强调 MFA 的实施仍然是身份安全的重要支柱。MFA 在阻止各种威胁方面仍然非常有效;它的有效性是 AiTM 网络钓鱼首先出现的原因。” 去年年底,来自石溪大学和 Palo Alto Networks 的一组研究人员展示了一种新的指纹识别技术,该技术可以使用名为 PHOCA 的工具在野外识别 AitM 网络钓鱼工具包。 |
|
|
