您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
從竊取cookie到BEC:攻擊者使用AiTM釣魚網(wǎng)站作為進一步財務(wù)欺詐的入口
使用中間人攻擊(AiTM)網(wǎng)絡(luò)釣魚網(wǎng)站的大規(guī)模網(wǎng)絡(luò)釣魚活動竊取了用戶的密碼,劫持了用戶的登錄會話,即使用戶啟用了多因素身份驗證(MFA),也會跳過身份驗證過程。然后,攻擊者使用竊取的憑證和會話cookie訪問受影響用戶的郵箱,并針對其他目標進行后續(xù)的商業(yè)電子郵件攻擊活動。自2021年9月以來,AiTM網(wǎng)絡(luò)釣魚活動已嘗試對1萬多個組織進行攻擊。
網(wǎng)絡(luò)釣魚仍然是攻擊者在試圖獲得對組織的初始訪問時最常用的技術(shù)之一。在AiTM釣魚攻擊中,攻擊者在目標用戶和用戶希望訪問的網(wǎng)站之間部署一個代理服務(wù)器。這樣的設(shè)置允許攻擊者竊取和攔截目標的密碼和會話cookie,這些cookie可以證明他們與該網(wǎng)站正在進行的、經(jīng)過身份驗證的會話。不過,這不是MFA中的漏洞。由于AiTM網(wǎng)絡(luò)釣魚竊取了會話cookie,攻擊者將代表用戶獲得會話的身份驗證,而不管后者使用的登錄方法。
研究人已檢測到與AiTM釣魚攻擊及其后續(xù)活動相關(guān)的可疑活動,如竊取會話cookie和試圖使用竊取的cookie登錄到ExchangeOnline。然而,為了進一步保護自己免受類似的攻擊,防護人員還應(yīng)該考慮用條件訪問策略來補充MFA,其中登錄請求使用額外的身份驅(qū)動信號來評估,如用戶或組成員身份、IP位置信息和設(shè)備狀態(tài)等。
AiTM網(wǎng)絡(luò)釣魚的工作原理
每個現(xiàn)代Web服務(wù)都會在成功驗證后與用戶進行會話,這樣用戶就不必在他們訪問的每個新頁面上都進行驗證。此會話功能是通過在初始身份驗證后由身份驗證服務(wù)提供的會話cookie實現(xiàn)的。會話cookie向Web服務(wù)器證明用戶已通過身份驗證并且在網(wǎng)站上具有正在進行的會話。在AiTM網(wǎng)絡(luò)釣魚中,攻擊者試圖獲取目標用戶的會話cookie,以便他們可以跳過整個身份驗證過程并代表后者采取行動。
為此,攻擊者會部署一個web服務(wù)器,它將訪問釣魚網(wǎng)站用戶的HTTP數(shù)據(jù)包代理到攻擊者希望冒充的目標服務(wù)器,反之亦然。這樣,釣魚網(wǎng)站在視覺上與原始網(wǎng)站是相同的,因為每個HTTP都是通過代理來訪問和來自原始網(wǎng)站。攻擊者也不需要像傳統(tǒng)的網(wǎng)絡(luò)釣魚活動那樣制作自己的網(wǎng)絡(luò)釣魚網(wǎng)站。URL是網(wǎng)絡(luò)釣魚網(wǎng)站和實際網(wǎng)站之間唯一可見的區(qū)別。
AiTM釣魚過程如下:
AiTM釣魚網(wǎng)站攔截認證過程
網(wǎng)絡(luò)釣魚頁面有兩個不同的傳輸層安全(TLS)會話與目標想要訪問的實際網(wǎng)站。這些會話意味著網(wǎng)絡(luò)釣魚頁面實際上充當(dāng)AiTM代理,攔截整個身份驗證過程并從HTTP請求中提取有價值的數(shù)據(jù),例如密碼,更重要的是會話cookie。一旦攻擊者獲得會話cookie,他們可以將其注入瀏覽器以跳過身份驗證過程,即使目標的MFA已啟用。
AiTM網(wǎng)絡(luò)釣魚過程目前可以使用開源網(wǎng)絡(luò)釣魚工具包和其他在線資源實現(xiàn)自動化。廣泛使用的套件包括Evilginx2、Modlishka和Muraena。
跟蹤AiTM網(wǎng)絡(luò)釣魚活動
研究人員檢測到自2021年9月以來試圖針對1萬多個組織的AiTM釣魚活動的多次迭代,該活動自2021年9月以來試圖針對10000多個組織。這些運行似乎鏈接在一起,并通過欺騙Office在線身份驗證頁面來針對Office365用戶。
根據(jù)分析,這些活動迭代使用Evilginx2釣魚工具作為其AiTM基礎(chǔ)設(shè)施。研究人員還發(fā)現(xiàn)了他們在攻擊后活動中的相似之處,包括目標郵箱中的敏感數(shù)據(jù)枚舉和支付欺詐。
初始訪問
在研究人員觀察到的一次運行中,攻擊者向不同組織中的多個收件人發(fā)送帶有HTML文件附件的電子郵件。電子郵件通知目標收件人,他們有語音消息。
帶有HTML文件附件的網(wǎng)絡(luò)釣魚電子郵件示例
當(dāng)收件人打開附加的HTML文件時,它會加載到用戶的瀏覽器中并顯示一個頁面,通知用戶正在下載語音消息。但是請注意,下載進度條在HTML文件中是硬編碼的,因此沒有獲取MP3文件。
在目標瀏覽器中加載的HTML文件附件
HTML附件的源代碼
相反,該頁面將用戶重定向到一個重定向網(wǎng)站:
重定向網(wǎng)站的截圖
這個重定向器充當(dāng)了看門人的角色,以確保目標用戶來自原始HTML附件。為此,它首先驗證url中預(yù)期的片段值(在本例中是用base64編碼的用戶電子郵件地址)是否存在。如果該值存在,則該頁面將連接釣魚網(wǎng)站登錄頁面上的值,該值也以 Base64 編碼并保存在“l(fā)ink”變量中。
重定向器網(wǎng)站的 < script > 標記中包含的重定向邏輯
通過結(jié)合這兩個值,隨后的網(wǎng)絡(luò)釣魚登陸頁面會自動使用用戶的電子郵件地址填寫登錄頁面,從而增強其社會工程誘餌。該技術(shù)也是該活動試圖阻止傳統(tǒng)反網(wǎng)絡(luò)釣魚解決方案直接訪問網(wǎng)絡(luò)釣魚 URL 的嘗試。
請注意,在其他情況下,研究人員觀察到重定向器頁面使用以下 URL 格式:
在這種格式中,目標的用戶名被用作無限子域技術(shù)的一部分。
目標瀏覽器上加載的規(guī)避重定向器網(wǎng)站
重定向后,用戶最終以用戶名作為片段值登陸了 Evilginx2 網(wǎng)絡(luò)釣魚網(wǎng)站。例如:
網(wǎng)絡(luò)釣魚登錄頁面示例
網(wǎng)絡(luò)釣魚網(wǎng)站代理了組織的 Azure Active Directory (Azure AD) 登錄頁面,通常是 login.microsoftonline.com。如果組織已將其 Azure AD 配置為包含其品牌,則網(wǎng)絡(luò)釣魚網(wǎng)站的登錄頁面也包含相同的品牌元素。
檢索組織的 Azure AD 品牌的網(wǎng)絡(luò)釣魚登錄頁面模型
一旦目標輸入他們的憑據(jù)并通過身份驗證,他們就會被重定向到合法的 office.com 頁面。然而,在后臺,攻擊者截獲了上述憑據(jù)并代表用戶進行了身份驗證。這允許攻擊者在組織內(nèi)部執(zhí)行后續(xù)活動,在本例中為支付欺詐。
支付欺詐
支付欺詐是指攻擊者欺騙欺詐目標將支付轉(zhuǎn)移到攻擊者擁有的賬戶。它可以通過劫持和回復(fù)正在進行的金融相關(guān)的電子郵件進行,并誘使欺詐目標通過虛假發(fā)票等方式匯款來實現(xiàn)。
研究人員發(fā)現(xiàn),在證書和會話被盜后,攻擊者只需5分鐘就可以啟動他們的后續(xù)支付欺詐。在首次登錄釣魚網(wǎng)站后,攻擊者使用竊取的會話 cookie 對 Outlook Online (outlook.office.com) 進行身份驗證。在許多情況下,cookie都有MFA聲明,這意味著即使該組織有MFA策略,攻擊者也會使用會話 cookie 代表受感染的帳戶獲得訪問權(quán)限。
尋找目標
在 cookie 被盜后的第二天,攻擊者每隔幾個小時訪問一次與財務(wù)相關(guān)的電子郵件和文件附件文件。他們還搜索了正在進行的電子郵件進程,其中付款欺詐是可行的。此外,攻擊者從受感染帳戶的收件箱文件夾中刪除了他們發(fā)送的原始網(wǎng)絡(luò)釣魚電子郵件,以隱藏其初始訪問的痕跡。
這些活動表明攻擊者試圖手動進行支付欺詐。他們也在云端進行了這項工作,他們在 Chrome 瀏覽器上使用 Outlook Web Access (OWA),并在使用被盜帳戶的被盜會話 cookie 的同時執(zhí)行上述活動。
一旦攻擊者找到相關(guān)的電子郵件進程,他們就會繼續(xù)使用他們的逃避技術(shù)。因為他們不希望被盜帳戶的用戶注意到任何可疑的郵箱活動,所以攻擊者創(chuàng)建了一個具有以下邏輯的收件箱規(guī)則來隱藏欺詐目標的任何未來回復(fù):
“對于發(fā)件人地址包含[欺詐目標的域名]的每封傳入電子郵件,將郵件移動到“存檔”文件夾并將其標記為已讀。”
進行付款欺詐
設(shè)置規(guī)則后,攻擊者立即回復(fù)與目標和其他組織的員工之間的付款和發(fā)票相關(guān)的正在進行的電子郵件進程,如創(chuàng)建的收件箱規(guī)則所示。然后,攻擊者從受感染帳戶的“已發(fā)送郵件”和“已刪除郵件”文件夾中刪除了他們的回復(fù)。
在執(zhí)行初始欺詐嘗試幾個小時后,攻擊者每隔幾個小時登錄一次以檢查欺詐目標是否回復(fù)了他們的電子郵件。在許多情況下,攻擊者通過電子郵件與目標溝通了幾天。在發(fā)送回回復(fù)后,他們從Archive文件夾中刪除目標的回復(fù)。他們還從“已發(fā)郵件”文件夾中刪除了郵件。
有一次,攻擊者從同一個被攻擊的郵箱同時進行了多次欺詐嘗試。每當(dāng)攻擊者發(fā)現(xiàn)新的欺詐目標時,他們就會更新他們創(chuàng)建的收件箱規(guī)則,以包括這些新目標的組織域。
以下是該活動基于Microsoft365Defender的威脅數(shù)據(jù)的端到端攻擊鏈總結(jié):
防御AiTM網(wǎng)絡(luò)釣魚和BEC
此 AiTM 網(wǎng)絡(luò)釣魚活動是威脅如何繼續(xù)演變以響應(yīng)組織為保護自己免受潛在攻擊而采取的安全措施和政策的另一個例子。由于去年許多最具破壞性的攻擊都利用了憑據(jù)網(wǎng)絡(luò)釣魚,我們預(yù)計類似的嘗試會在規(guī)模和復(fù)雜性上增長。
雖然 AiTM 網(wǎng)絡(luò)釣魚試圖繞過 MFA,但MFA 實施仍然是身份安全的重要支柱。MFA 在阻止各種威脅方面仍然非常有效;它的有效性是 AiTM 網(wǎng)絡(luò)釣魚首先出現(xiàn)的原因。因此,組織可以通過使用支持 Fast ID Online (FIDO) v2.0 和基于證書的身份驗證的解決方案來使其 MFA 實施“抵御網(wǎng)絡(luò)釣魚”。
防御者還可以通過以下解決方案免受這類攻擊
1.啟用條件訪問策略。每次攻擊者嘗試使用被盜的會話 cookie 時,都會評估和執(zhí)行條件訪問策略。組織可以通過啟用合規(guī)設(shè)備或受信任的 IP 地址要求等策略來保護自己免受利用被盜憑據(jù)的攻擊。
2.投資于監(jiān)控和掃描傳入電子郵件和訪問過的網(wǎng)站的高級反網(wǎng)絡(luò)釣魚解決方案。例如,組織可以利用能夠自動識別和阻止惡意網(wǎng)站的網(wǎng)絡(luò)瀏覽器,包括在此網(wǎng)絡(luò)釣魚活動中使用的網(wǎng)站。
3.持續(xù)監(jiān)控可疑或異?;顒樱?/span>
3.1尋找具有可疑特征的登錄嘗試(例如,位置、ISP、用戶代理、使用匿名服務(wù))。
3.2尋找不尋常的郵箱活動,例如創(chuàng)建具有可疑目的的收件箱規(guī)則或通過不受信任的 IP 地址或設(shè)備訪問異常數(shù)量的郵件項目。
參考及來源:https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud/
來源:嘶吼專業(yè)版