銀行、社交、遊戲賬號被盜?網絡釣魚:黑客如何繞過雙重身份驗證
為防範網絡釣魚攻擊,在線平臺提供商在其網站上實施雙重身份驗證流程。但現在,黑客可以更簡單地繞過這種保護。已經開發了兩種工具來自動化該過程並同時發動數百次攻擊。
入侵測試人員和黑客能夠在其軟件庫中添加一種自動化網絡釣魚攻擊的方法,該方法可以阻止雙重身份驗證(2FA),並且不易檢測和阻止。該工具包於上個月在阿姆斯特丹的Hack in the Box會議上發佈,並在幾天後在GitHub上發佈。它有兩個組件:一個名為Muraena的透明反向代理和一個名為NecroBrowser的Docker容器,用於自動化Headless Chromium實例。
傳統的網絡釣魚攻擊包括創建託管在攻擊者控制的Web服務器上的虛假登錄頁面,其域名類似於目標網站的域名。但是,這種靜態攻擊對使用雙重身份驗證的在線服務無效。在這種情況下,確實沒有與合法網站的交互來觸發一次性代碼的生成。如果沒有這些代碼,攻擊者無法使用網絡釣魚憑據登錄。
一種不是新的攻擊,但更容易啟動
要克服2FA,攻擊者必須確保其網絡釣魚網站充當代理服務器,代表受害者將請求轉發到合法網站併為其提供實時響應。最終目標不僅僅是獲取用戶名和密碼,還包括現實世界網站與關聯帳戶關聯的會話cookie。這些可以放在瀏覽器中,直接訪問與之關聯的帳戶,而無需進行身份驗證。
這種代理技術並不是新技術,並且已為人所知很長時間,但設置此類攻擊需要技術知識,並且需要配置多個獨立工具(如NGINX Web服務器)作為反向代理。然後,攻擊者必須在過期之前手動洩露被盜會話cookie。此外,一些網站使用子資源完整性(SRI)和內容安全策略(CSP)等技術來防止“代理”,有些網站甚至會阻止基於標頭的自動瀏覽器。
Go下的網絡釣魚站點創建工具
創建Muraena和NecroBrowser是為了打敗這些保護措施並使大部分過程自動化。這意味著更多攻擊者現在可以發起可以覆蓋2FA的網絡釣魚攻擊。這些工具是由瀏覽器開發框架項目(BeEF)的前開發人員Michele Orru和Bettercap項目成員Giuseppe Trotta創建的。
Muraena是用Go編程語言編寫的,這意味著它可以在Go可用的任何平臺上編譯和運行。部署後,攻擊者可以配置其網絡釣魚域併為其獲取合法證書,例如使用Let的加密證書頒發機構。該工具包含一個充當反向代理的最小Web服務器和一個自動確定合法網站的代理資源的爬網程序。代理在傳輸之前透明地重寫從受害者收到的請求。爬網程序會自動生成JSON配置文件,然後可以手動編輯該文件以繞過更復雜的Web站點上的各種防禦。
一旦受害者登陸由Muraena提供支持的釣魚網站,登錄過程就像真實的網站一樣。系統會提示用戶輸入其2FA代碼。一旦他提供並且身份驗證完成,代理就會竊取會話cookie。後者通常由瀏覽器存儲在文件中,並在後續請求期間提供。這允許網站自動為該瀏覽器提供訪問帳戶一段時間 - 會話持續時間 - 而無需再次請求登錄密碼。Muraena可以自動將收集的會話cookie轉發到其第二個組件NecroBrowser,它可以立即開始洩露它們。
同時生成數百個容器
NecroBrowser是一種微服務,可通過API進行控制,並配置為通過在Docker容器中運行的Chromium Headless實例執行操作。根據服務器上可用的資源,攻擊者可以同時生成數十個或數百個這樣的容器,每個容器都會從受害者身上竊取會話cookie。
殭屍瀏覽器實例執行的操作可以完全自動化。例如,根據帳戶類型,它可能意味著截取電子郵件,啟動密碼重置,將惡意密鑰上傳到GitHub或向郵箱添加惡意地址。瀏覽器實例還可用於收集社交網絡上的聯繫人和朋友信息,甚至可以在蠕蟲攻擊中向這些朋友發送網絡釣魚郵件。
解決方案很少
不幸的是,很少有技術解決方案完全阻止此類服務器端網絡釣魚攻擊。Muraena的開發表明SRI和CSP等技術效果有限,可以繞過自動化。此外,該工具顯示2FA不是萬無一失的解決方案。
這種類型的代理網絡釣魚無法阻止某些2FA實施。使用USB硬件令牌的用戶支持通用第二因子(U2F)標準。這是因為這些USB令牌通過瀏覽器建立了與合法網站的加密驗證連接,該瀏覽器不通過攻擊者的反向代理。此外,由SMS接收或由移動認證應用程序生成的基於代碼的解決方案易受攻擊,因為受害者必須手動輸入。
警惕是必須的
另一種技術解決方案可以是瀏覽器擴展,其檢查用戶是否在正確的網站上輸入他的憑證。Google為Chrome開發了一個名為Password Alert的擴展程序,如果用戶試圖在不屬於Google的網站上輸入其Google憑據,則會向用戶發出警告。
教育用戶保持警惕並確保他們使用正確的域名向正確的網站進行身份驗證仍然非常重要。存在TLS / SSL指示符和有效證書不足以將網站視為合法網站,因為現在可以免費輕鬆獲取證書,因此大多數網絡釣魚站點將與HTTPS兼容。
相關推薦
