透过安全事件剖析黑客组织攻击技术(2FA/MA的攻击手法)
笔者给大家介绍一些常用的绕过2FA或MFA的攻击技术。
(1)MFA疲劳攻击技术
(2)黑客使用Evilginx等黑客工具,进行中间人截持攻击
(3)通过暴力枚举破解2FA或MFA身份验证信息
(4)通过获取Cookies信息绕过2FA身份验证策略
(5)SIM劫持短信SMS中间人攻击
(6)利用漏洞直接绕过2FA或MFA身份验证策略
(7)通过钓鱼、木马和社会工程的方法
上面的几种攻击技术,基本可以绕过大部分2FA或MFA身份验证策略,在思科被攻击事件中黑客组织就是使用了MFA疲劳攻击技术,进入企业内网,但是有时候要绕过MFA或2FA的前提是要先拿到受害者的账号和密码,一般的黑客组织会通过各种恶意软件像RAT或Stealer窃密类木马拿到受害者帐号和密码或者直接拿到受害者的Cookies信息来进行更一步的绕过攻击活动,例如在Uber被攻击事件当中,国外安全研究人员在一个截图中发现了疑似某Stealer窃密类木马的记录信息,很有可能是Uber的员工感染了Stealer窃密类木马,然后黑客将窃取到的这些企业员工登录凭证信息挂到黑客暗网网站或地下黑客论坛上进行出售,这些信息被其他黑客获取到,然后进入了企业内网。
下面我们再详细聊聊这几种攻击技术,看看黑客是如何拿到企业员工凭证绕过2FA或MFA身份验证进入企业内网的。
(1)使用MFA疲劳攻击技术,诱骗绕过2FA或MFA身份验证策略,这种攻击方式就是通过自动化脚本不断地向受害者发送验证信息,直到受害者不管是有意还是无意点击接受为止,具体的攻击手法,可以参考如下链接:
https://portswigger.net/daily-swig/mfa-fatigue-attacks-users-tricked-into-allowing-device-access-due-to-overload-of-push-notifications
(2)使用Evilginx等黑客工具进行实时钓鱼中间人劫持攻击,获取2FA或MFA的登录凭证,具体的攻击手法,如下所示:
参考链接:
https://breakdev.org/evilginx-2-next-generation-of-phishing-2fa-tokens/
(3)通过暴力枚举2FA或MFA身份验证信息,在一些网站或系统登录的时候,还需要输入一个额外的验证码信息,可以通过抓包的方式,利用BurpSuite等工具进行暴力枚举,获取额外的验证码信息。
(4)通过获取Cookies信息,绕过2FA或MFA身份验证,具体的攻击手法,可以参考如下链接:
https://infosecwriteups.com/bypassing-2fa-with-cookies-ff2c79022f63
黑客如何获取受害者的Cookies的信息呢?可以使用恶意软件,例如一些窃密类的木马都有获取浏览器Cookies信息的功能,也可以使用上面的中间人攻击技术获取受害者Cookies信息,在Uber的攻击事件当中,黑客就是通过从暗网渠道购买其他黑客组织通过窃密类木马获取的企业员工Cookies信息,然后再进行后面的攻击活动。
(5)SIM劫持短信SMS中间人攻击,获取2FA或MFA身份验证信息,这种攻击方式,主要通过SIM卡劫持技术对SMS短信进行中间人攻击的方式,获取到SMS短信信息,达到绕过2FA或MFA身份验证。
(6)通过漏洞直接绕过2FA或MFA身份验证策略,这种攻击方式主要是通过应用系统以及手机应用系统等漏洞,直接绕过2FA或MFA身份验证策略。
(7)通过钓鱼、木马和社会工程的方式拿到2FA或MFA的身份验证信息,这种攻击方式主要通过钓鱼网站,诱骗受害者输入2FA或MFA身份验证信息,直接拿到受害者的2FA或MFA身份验证,然后绕过2FA或MFA,黑客还可以通过在手机上植入木马程序,对受害者手机的SMS短信进行截取,获取手机短信验证码信息,绕过2FA或MFA身份验证策略,另外一种攻击方法就是黑客使用社会工程学的方式,拿到受害者的相关2FA或MFA的一些身份验证信息,例如黑客通过社工靠近受害者,拿到受害者的指纹信息和人脸识别信息,还可以通过社工技术直接拿到受害者的短信验证信息,这种攻击方式在一些诈骗团伙中经常使用。
上面详细介绍了黑客组织使用的多个攻击技术,黑客组织在攻击一个企业目标,进入企业内网的时候可能会使用其中一种技术,也可能会使用多个攻击技术进行组合攻击,层层逃过企业中的各种安全产品和安全策略。