.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
使用中間人攻擊(AiTM)網絡釣魚網站的大規模網絡釣魚活動竊取了用戶的密碼,劫持了用戶的登錄會話,即使用戶啟用了多因素身份驗證(MFA),也會跳過身份驗證過程。然後,攻擊者使用竊取的憑證和會話cookie訪問受影響用戶的郵箱,並針對其他目標進行後續的商業電子郵件攻擊活動。自2021年9月以來,AiTM網絡釣魚活動已嘗試對1萬多個組織進行攻擊。
網絡釣魚仍然是攻擊者在試圖獲得對組織的初始訪問時最常用的技術之一。在AiTM釣魚攻擊中,攻擊者在目標用戶和用戶希望訪問的網站(即攻擊者希望模擬的網站)之間部署一個代理服務器。這樣的設置允許攻擊者竊取和攔截目標的密碼和會話cookie,這些cookie可以證明他們與該網站正在進行的、經過身份驗證的會話。不過,這不是MFA中的漏洞。由於AiTM網絡釣魚竊取了會話cookie,攻擊者將代表用戶獲得會話的身份驗證,而不管後者使用的登錄方法。
研究人已檢測到與AiTM釣魚攻擊及其後續活動相關的可疑活動,如竊取會話cookie和試圖使用竊取的cookie登錄到ExchangeOnline。然而,為了進一步保護自己免受類似的攻擊,防護人員還應該考慮用條件訪問策略來補充MFA,其中登錄請求使用額外的身份驅動信號來評估,如用戶或組成員身份、IP位置信息和設備狀態等。
AiTM網絡釣魚的工作原理每個現代Web服務都會在成功驗證後與用戶進行會話,這樣用戶就不必在他們訪問的每個新頁面上都進行驗證。此會話功能是通過在初始身份驗證後由身份驗證服務提供的會話cookie實現的。會話cookie向Web服務器證明用戶已通過身份驗證並且在網站上具有正在進行的會話。在AiTM網絡釣魚中,攻擊者試圖獲取目標用戶的會話cookie,以便他們可以跳過整個身份驗證過程並代表後者採取行動。
為此,攻擊者會部署一個web服務器,它將訪問釣魚網站用戶的HTTP數據包代理到攻擊者希望冒充的目標服務器,反之亦然。這樣,釣魚網站在視覺上與原始網站是相同的,因為每個HTTP都是通過代理來訪問和來自原始網站。攻擊者也不需要像傳統的網絡釣魚活動那樣製作自己的網絡釣魚網站。 URL是網絡釣魚網站和實際網站之間唯一可見的區別。
AiTM釣魚過程如下:
AiTM釣魚網站攔截認證過程
網絡釣魚頁面有兩個不同的傳輸層安全(TLS)會話與目標想要訪問的實際網站。這些會話意味著網絡釣魚頁面實際上充當AiTM代理,攔截整個身份驗證過程並從HTTP請求中提取有價值的數據,例如密碼,更重要的是會話cookie。一旦攻擊者獲得會話cookie,他們可以將其註入瀏覽器以跳過身份驗證過程,即使目標的MFA已啟用。
AiTM網絡釣魚過程目前可以使用開源網絡釣魚工具包和其他在線資源實現自動化。廣泛使用的套件包括Evilginx2、Modlishka和Muraena。
跟踪AiTM網絡釣魚活動研究人員檢測到自2021年9月以來試圖針對1萬多個組織的AiTM釣魚活動的多次迭代,該活動自2021年9月以來試圖針對10000多個組織。這些運行似乎鏈接在一起,並通過欺騙Office在線身份驗證頁面來針對Office365用戶。
根據分析,這些活動迭代使用Evilginx2釣魚工具作為其AiTM基礎設施。研究人員還發現了他們在攻擊後活動中的相似之處,包括目標郵箱中的敏感數據枚舉和支付欺詐。
初始訪問在研究人員觀察到的一次運行中,攻擊者向不同組織中的多個收件人發送帶有HTML文件附件的電子郵件。電子郵件通知目標收件人,他們有語音消息。
帶有HTML文件附件的網絡釣魚電子郵件示例
當收件人打開附加的HTML文件時,它會加載到用戶的瀏覽器中並顯示一個頁面,通知用戶正在下載語音消息。但是請注意,下載進度條在HTML文件中是硬編碼的,因此沒有獲取MP3文件。
在目標瀏覽器中加載的HTML文件附件
HTML附件的源代碼
相反,該頁面將用戶重定向到一個重定向網站:
重定向網站的截圖
這個重定向器充當了看門人的角色,以確保目標用戶來自原始HTML附件。為此,它首先驗證url中預期的片段值(在本例中是用base64編碼的用戶電子郵件地址)是否存在。如果該值存在,則該頁面將連接釣魚網站登錄頁面上的值,該值也以Base64 編碼並保存在“link”變量中。
重定向器網站的script 標記中包含的重定向邏輯
通過結合這兩個值,隨後的網絡釣魚登陸頁面會自動使用用戶的電子郵件地址填寫登錄頁面,從而增強其社會工程誘餌。該技術也是該活動試圖阻止傳統反網絡釣魚解決方案直接訪問網絡釣魚URL 的嘗試。
請注意,在其他情況下,研究人員觀察到重定向器頁面使用以下URL 格式:
在這種格式中,目標的用戶名被用作無限子域技術的一部分。
目標瀏覽器上加載的規避重定向器網站
重定向後,用戶最終以用戶名作為片段值登陸了Evilginx2 網絡釣魚網站。例如:
網絡釣魚登錄頁面示例
網絡釣魚網站代理了組織的Azure Active Directory (Azure AD) 登錄頁面,通常是login.microsoftonline.com。如果組織已將其Azure AD 配置為包含其品牌,則網絡釣魚網站的登錄頁面也包含相同的品牌元素。
檢索組織的Azure AD 品牌的網絡釣魚登錄頁面模型
一旦目標輸入他們的憑據並通過身份驗證,他們就會被重定向到合法的office.com 頁面。然而,在後台,攻擊者截獲了上述憑據並代表用戶進行了身份驗證。這允許攻擊者在組織內部執行後續活動,在本例中為支付欺詐。
支付欺詐支付欺詐是指攻擊者欺騙欺詐目標將支付轉移到攻擊者擁有的賬戶。它可以通過劫持和回復正在進行的金融相關的電子郵件進行,並誘使欺詐目標通過虛假髮票等方式匯款來實現。
研究人員發現,在證書和會話被盜後,攻擊者只需5分鐘就可以啟動他們的後續支付欺詐。在首次登錄釣魚網站後,攻擊者使用竊取的會話cookie 對Outlook Online (outlook.office.com) 進行身份驗證。在許多情況下,cookie都有MFA聲明,這意味著即使該組織有MFA策略,攻擊者也會使用會話cookie 代表受感染的帳戶獲得訪問權限。
尋找目標在cookie 被盜後的第二天,攻擊者每隔幾個小時訪問一次與財務相關的電子郵件和文件附件文件。他們還搜索了正在進行的電子郵件進程,其中付款欺詐是可行的。此外,攻擊者從受感染帳戶的收件箱文件夾中刪除了他們發送的原始網絡釣魚電子郵件,以隱藏其初始訪問的痕跡。
這些活動表明攻擊者試圖手動進行支付欺詐。他們也在雲端進行了這項工作,他們在Chrome 瀏覽器上使用Outlook Web Access (OWA),並在使用被盜帳戶的被盜會話cookie 的同時執行上述活動。
一旦攻擊者找到相關的電子郵件進程,他們就會繼續使用他們的逃避技術。因為他們不希望被盜帳戶的用戶注意到任何可疑的郵箱活動,所以攻擊者創建了一個具有以下邏輯的收件箱規則來隱藏欺詐目標的任何未來回复:
“對於發件人地址包含[欺詐目標的域名]的每封傳入電子郵件,將郵件移動到“存檔”文件夾並將其標記為已讀。”
進行付款欺詐設置規則後,攻擊者立即回復與目標和其他組織的員工之間的付款和發票相關的正在進行的電子郵件進程,如創建的收件箱規則所示。然後,攻擊者從受感染帳戶的“已發送郵件”和“已刪除郵件”文件夾中刪除了他們的回复。
在執行初始欺詐嘗試幾個小時後,攻擊者每隔幾個小時登錄一次以檢查欺詐目標是否回復了他們的電子郵件。在許多情況下,攻擊者通過電子郵件與目標溝通了幾天。在發送回回復後,他們從Archive文件夾中刪除目標的回复。他們還從“已發郵件”文件夾中刪除了郵件。
有一次,攻擊者從同一個被攻擊的郵箱同時進行了多次欺詐嘗試。每當攻擊者發現新的欺詐目標時,他們就會更新他們創建的收件箱規則,以包括這些新目標的組織域。
以下是該活動基於Microsoft365Defender的威脅數據的端到端攻擊鏈總結:
防禦AiTM網絡釣魚和BEC
此AiTM 網絡釣魚活動是威脅如何繼續演變以響應組織為保護自己免受潛在攻擊而採取的安全措施和政策的另一個例子。由於去年許多最具破壞性的攻擊都利用了憑據網絡釣魚,我們預計類似的嘗試會在規模和復雜性上增長。
雖然AiTM 網絡釣魚試圖繞過MFA,但MFA 實施仍然是身份安全的重要支柱。 MFA 在阻止各種威脅方面仍然非常有效;它的有效性是AiTM 網絡釣魚首先出現的原因。因此,組織可以通過使用支持Fast ID Online (FIDO) v2.0 和基於證書的身份驗證的解決方案來使其MFA 實施“抵禦網絡釣魚”。
防御者還可以通過以下解決方案免受這類攻擊1.啟用條件訪問策略。每次攻擊者嘗試使用被盜的會話cookie 時,都會評估和執行條件訪問策略。組織可以通過啟用合規設備或受信任的IP 地址要求等策略來保護自己免受利用被盜憑據的攻擊。
2.投資於監控和掃描傳入電子郵件和訪問過的網站的高級反網絡釣魚解決方案。例如,組織可以利用能夠自動識別和阻止惡意網站的網絡瀏覽器,包括在此網絡釣魚活動中使用的網站。
3.持續監控可疑或異常活動:
3.1尋找具有可疑特徵的登錄嘗試(例如,位置、ISP、用戶代理、使用匿名服務)。
3.2尋找不尋常的郵箱活動,例如創建具有可疑目的的收件箱規則或通過不受信任的IP 地址或設備訪問異常數量的郵件項目。