自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

俄羅斯 APT 組織利用設(shè)備碼釣魚技術(shù)繞過(guò)多因素認(rèn)證

作者:AI小蜜蜂
安全
這種針對(duì)性攻擊手段標(biāo)志著威脅行為者通過(guò)社會(huì)工程學(xué)突破高級(jí)安全系統(tǒng)的能力顯著提升,攻擊者可以在不觸發(fā)傳統(tǒng)安全警報(bào)的情況下,未經(jīng)授權(quán)訪問(wèn)高價(jià)值目標(biāo)。

俄羅斯國(guó)家支持的APT組織Storm-2372近期發(fā)起了一場(chǎng)復(fù)雜的網(wǎng)絡(luò)攻擊活動(dòng),利用設(shè)備碼釣魚(Device Code Phishing)技術(shù)繞過(guò)多因素認(rèn)證(MFA)安全措施。

這種針對(duì)性攻擊手段標(biāo)志著威脅行為者通過(guò)社會(huì)工程學(xué)突破高級(jí)安全系統(tǒng)的能力顯著提升,攻擊者可以在不觸發(fā)傳統(tǒng)安全警報(bào)的情況下,未經(jīng)授權(quán)訪問(wèn)高價(jià)值目標(biāo)。

全球范圍的攻擊目標(biāo)

該攻擊活動(dòng)主要針對(duì)政府機(jī)構(gòu)、科技公司、金融機(jī)構(gòu)、國(guó)防承包商、醫(yī)療機(jī)構(gòu)和媒體組織等多個(gè)領(lǐng)域內(nèi)擁有重要數(shù)據(jù)和戰(zhàn)略影響力的機(jī)構(gòu)。

研究人員已在美國(guó)、烏克蘭、英國(guó)、德國(guó)、加拿大和澳大利亞等多個(gè)國(guó)家發(fā)現(xiàn)了這些攻擊的數(shù)字證據(jù),表明該行動(dòng)具有全球性影響。

設(shè)備碼釣魚技術(shù)原理

設(shè)備碼釣魚技術(shù)利用了一種原本旨在簡(jiǎn)化輸入能力有限設(shè)備登錄流程的合法認(rèn)證方法。在此類攻擊中,受害者會(huì)收到看似真實(shí)的釣魚信息,這些信息會(huì)將他們引導(dǎo)至真實(shí)的認(rèn)證門戶網(wǎng)站,在攻擊者幕后操作的同時(shí)制造虛假的安全感。

SOCRadar研究人員指出,這種攻擊方法特別危險(xiǎn),因?yàn)樗昧耸苄湃蔚恼J(rèn)證工作流程,而不是試圖創(chuàng)建登錄頁(yè)面的仿冒副本。通過(guò)利用實(shí)際的OAuth設(shè)備授權(quán)流程,攻擊者可以繞過(guò)那些專門檢測(cè)偽造登錄頁(yè)面的傳統(tǒng)釣魚檢測(cè)系統(tǒng)。

攻擊流程始于網(wǎng)絡(luò)犯罪分子通過(guò)電子郵件或短信發(fā)送包含緊急認(rèn)證請(qǐng)求的釣魚信息。

設(shè)備碼釣魚攻擊流程(來(lái)源:SOCRadar)

這些信息會(huì)將目標(biāo)引導(dǎo)至微軟設(shè)備碼門戶等真實(shí)登錄頁(yè)面,受害者被要求輸入攻擊者生成的代碼。一旦輸入代碼,攻擊者就能在不觸發(fā)標(biāo)準(zhǔn)MFA驗(yàn)證的情況下,持續(xù)訪問(wèn)受害者的企業(yè)賬戶。

設(shè)備碼釣魚機(jī)制技術(shù)分析

設(shè)備碼釣魚攻擊利用了OAuth 2.0設(shè)備授權(quán)授予流程,該流程原本旨在幫助用戶在輸入能力有限的設(shè)備上進(jìn)行身份驗(yàn)證。在合法實(shí)施時(shí),該流程允許用戶在單獨(dú)的設(shè)備上進(jìn)行身份驗(yàn)證,然后使用代碼授權(quán)原始設(shè)備的訪問(wèn)權(quán)限。

然而,Storm-2372通過(guò)控制授權(quán)端點(diǎn)反轉(zhuǎn)了這一流程。在典型攻擊場(chǎng)景中,威脅行為者向微軟等合法服務(wù)發(fā)起OAuth授權(quán)請(qǐng)求。服務(wù)生成設(shè)備代碼和用戶代碼以及驗(yàn)證URL。攻擊者不是將這些用于合法目的,而是通過(guò)釣魚信息將用戶代碼轉(zhuǎn)發(fā)給受害者。

當(dāng)受害者訪問(wèn)真實(shí)的驗(yàn)證URL并輸入提供的代碼時(shí),他們無(wú)意中授權(quán)了攻擊者的會(huì)話。這種攻擊特別有效的原因是它不需要攻擊者創(chuàng)建虛假登錄頁(yè)面或直接竊取憑據(jù)。在整個(gè)過(guò)程中,受害者都與真實(shí)的認(rèn)證門戶進(jìn)行交互,這使得傳統(tǒng)的釣魚檢測(cè)方法失效。

此外,一旦攻擊者獲得認(rèn)證令牌,在許多配置中他們可以無(wú)限期刷新令牌,即使在密碼更改后也能保持持續(xù)訪問(wèn)權(quán)限。

防御建議

為防范這些復(fù)雜攻擊,網(wǎng)絡(luò)安全專業(yè)人員應(yīng)采取以下措施:

  • 實(shí)施基于設(shè)備合規(guī)性和地理位置限制認(rèn)證的條件訪問(wèn)策略
  • 定期審核OAuth令牌請(qǐng)求
  • 部署使用FIDO2安全密鑰而非基于短信驗(yàn)證的防釣魚MFA解決方案
  • 開(kāi)展全面的安全意識(shí)培訓(xùn),特別關(guān)注這些新興威脅
責(zé)任編輯:趙寧寧 來(lái)源: FreeBuf
多因素認(rèn)證MFA網(wǎng)絡(luò)安全
相關(guān)推薦

2025-02-20 14:56:05

2016-08-12 09:33:38

2020-12-18 17:24:09

黑客多因素認(rèn)證日爆攻擊

2020-07-17 11:29:17

黑客新冠疫苗惡意軟件

2022-08-17 09:15:23

威脅情報(bào)黑客

2015-09-02 11:57:56

2015-07-16 11:41:51

2021-10-10 12:19:05

Google黑客網(wǎng)絡(luò)攻擊

2022-03-21 11:58:51

DDoS攻擊釣魚攻擊釣魚網(wǎng)站

2022-11-03 14:33:32

2014-10-31 14:04:51

2015-07-22 10:59:15

2022-02-25 16:55:53

黑客網(wǎng)絡(luò)戰(zhàn)爭(zhēng)攻擊

2023-12-05 15:59:19

2024-04-18 15:53:53

2025-03-14 08:00:00

漏洞加密MFA

2022-05-17 10:01:21

ChromeAndroidGoogle

2024-10-09 15:40:54

2015-06-25 17:23:33

2020-10-22 07:58:31

黑客組織勒索軟件網(wǎng)絡(luò)攻擊
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)