對於駭客突破MFA保護機制的威脅,若我們從攻擊者角度來設想,其實可以發現,會有不同的攻擊方式與構面。
這裡先要提醒的是,在突破MFA的手段上,普遍說法可能都稱之為MFA繞過,因為從結果上都是繞過,但我們認為,從過程來看,在攻擊層面上有其差異。
舉例來說,首先,就是大家普遍比較關注的攻擊手法,透過網路釣魚或社交工程,藉由用戶本身來幫助駭客「通過MFA驗證」,這包括了誘騙或竊取OTP驗證碼,以及發動MFA登入通知的轟炸攻擊。
因此,現階段產業界所提倡的FIDO/WebAuthn驗證,是目前抵抗網路釣魚的最佳方法,可避免這類型的問題。
另一種需要留意的是,透過「繞過MFA驗證」的方式,這屬於不同的攻擊層面。例如,以網站應用程式的面向而言,攻擊者透過Cookie Theft(pass-the-cookie attack)的Session劫持技術,直接取得已身分驗證的證明資料,進而冒充使用者連線,就是一種方式。
上述這種方式主要利用Web瀏覽器技術的運作邏輯,因此完全繞過了前段身分認證的流程,等於MFA也被繞過。特別的是,Cookie Theft的攻擊也分成不同的手段,其防護方式亦有差別。
過去Google曾表示,Cookie Theft是一項存在多年的攻擊手法,他們並在2021年對YouTube創作者示警,指出攻擊者會利用社交工程手法,誘使用戶安裝可竊取瀏覽器Cookie的惡意程式。
微軟在2022年6月也曾公布一起威脅事件,駭客是利用Adversary-in-the-middle(AiTM)的釣魚網站手法,讓用戶前往真正目標網站前,會先經過一個代理伺服器的釣魚網站,藉此取得登入期間Cookie。
要如何防範不同的Cookie Theft的手法?臺灣微軟資安專家技術部技術專家林堅樂表示,面對這類型的攻擊手法,現階段可從端點安全、郵件安全等面向去因應。
例如,透過防毒軟體或端點偵測與回應(EDR),可以偵測惡意程式、使用者或背景程序的異常行為,像是存取Cookie檔案、或攔截MFA資訊的隱形代理行為,甚至再搭配應用程式簽章、機敏資料夾納管等資安管控措施進行強化。同時,也需留意所使用的瀏覽器是否提供跨裝置同步資料的能力,確保身份權杖無外洩之虞。
而對於防範AiTM的網釣手法,林堅樂也表示,像是在Microsoft 365郵件或微軟Teams等聯繫管道上,針對這類惡意網址就會有轉址或沙箱的技術去檢測。而從上述微軟針對AiTM網釣事件的揭露中,其實也有提到防範作法,例如,使用FIDO2實體安全密鑰、Windows Hello for Business,以及基於憑證的認證,可防止AiTM網釣,或是從其他方式著手,像是配置條件式存取管理政策,以及上述監控從郵件與網站管道的釣魚來防止。
另外,我們也詢問FIDO2實體安全密鑰與相關解決方案的業者歐生全,從他們的見解來看,FIDO2/Webauthn提供的是前段的認證(authentication)保護機制,而涉及Cookie方面,這其實是超出Webauthn的威脅模型,因此現階段最佳作法是零信任網路安全策略來防範,不只是強調抗網釣MFA,還包含最小權限、設備驗證、資料存取層面,藉由各方面幫助做到持續驗證。而AiTM也是屬於釣魚的一種,在瀏覽器(無安裝惡意擴充程式)與使用環境的https跟網域伺服器都沒有被竄改下,FIDO2/Webauthn都能防禦這種釣魚攻擊,主要原因是瀏覽器都會檢查origins/網域名稱。
在2021年10月Google示警,有攻擊者鎖定YouTube創作者,是以社交工程手法,假廣告合作名義發送電子郵件給創作者,謊稱的藉口譬如防毒軟體、VPN、影音編輯軟體或線上遊戲的開箱與測試,實際上則是在提供的檔案上暗藏惡意程式,例如對方在郵件附檔提供一個夾帶包含惡意下載連結的PDF檔,引導創作者下載所謂的「試用軟體」,但實際則是要執行可發動Cookie theft攻擊的惡意軟體。
在2022年7月,微軟揭露AiTM網釣的駭客攻擊手法,攻擊者利用Cookie theft方式來冒用身分並發動BEC詐騙。關於這起攻擊的手法,微軟有詳細說明,指出攻擊者透過駭客除了發送網釣郵件與建立釣魚網站,特別的是,更將釣魚網站以代理伺服器方式設在用戶連線至目標網站之間,用以竊取使用者的憑證與期間Cookie。
熱門新聞
2024-09-29
2024-10-01
2024-10-01
2024-10-01
2024-09-29
2024-09-30
2024-09-30