近期,Cisco和Uber两家巨头企业相继被黑客攻破导致严重数据泄露事件。通过互联网上的公开资料和安全专家分析,这两起攻击中黑客利用的都是MFA疲劳攻击突破企业防线渗透到内网。
什么是MFA疲劳攻击?
攻击者是如何利用这种攻击方式突破MFA验证的呢?
本文将带您解读事件背后的故事
事件1 Cisco VPN被攻破导致数据泄露
01 事件概要
2022年8月,国内一些媒体报道称,Cisco内网遭到阎罗王勒索软件团伙入侵。攻击者窃取到一名员工的谷歌账号,通过浏览器同步的账密获得了Cisco内网VPN账号,之后利用语音钓鱼电话获得了该员工的二次验证码,从而进入内网实施窃密。黑客声称窃取到2.75GB数据,约3100个文件,其中不少文件为保密协议、数据转储和工程图纸。
02 VPN账号密码哪里来
黑客通过入侵Cisco员工的个人谷歌帐户获取到VPN账号密码。由于该员工在Google Chrome启用了密码同步,并将其Cisco凭据存储在浏览器中,因此这些信息能够同步到谷歌帐户。由此可见,不要将重要账号密码同步到Chrome浏览器,因为谷歌的个人账号相对并不安全。
03 MFA如何被突破
新型的VPN基本都会开启MFA多因子认证,据报道黑客利用语音钓鱼电话获取该员工的二次验证码。真实情况是这样吗?查看Cisco自己的调查报告可以看到,攻击者以各种受信任的组织为幌子进行了一系列复杂的语音网络钓鱼攻击,试图说服受害者接受其发起的多因素身份验证推送(MFA push)通知。Cisco收购了Duo,因此使用Duo多因子的push通知。只要受害者被骗在自己的设备上轻轻点击一下,攻击者就可以获得授权。
语音社工太成功了,受害者成功被说服,攻击者通过VPN顺利进入了Cisco内网。
事件2 Uber VPN被攻破导致数据泄露
01 事件概要
9月15日,一名18岁黑客声称已成功入侵Uber系统,下载了HackerOne的漏洞报告,并分享了Uber内部系统、电子邮件、Slack服务器的截图。
截图显示,黑客已经成功访问了Uber的许多关键IT系统,包括企业安全软件和Windows域。黑客访问的其他系统包括Uber的亚马逊网络服务配置、VMware vSphere/ESXi虚拟机,以及Google Workspace用于管理Uber电子邮件帐户的管理界面。
02 VPN账号密码哪里来
Uber相关员工感染恶意软件,信息被泄露到黑市。黑客从网络黑市购买到这份泄露数据,挑出对他们有用的信息以及合适下手的人。
03 MFA如何被突破
Uber的VPN也开启Duo类似的push认证。在一小时内,攻击者给受害者不停触发push认证,并且通过WhatsAPP伪装成Uber的IT人员,告诉受害者必须接受才能停止推送。类似于Cisco事件,受害者成功被说服,攻击者同样通过VPN进入到Uber内网。
分析:关键的MFA疲劳攻击
这两起攻击事件都使用了同一种黑客攻击手法,国外同行将其定义为MFA Fatigue Attack,中文译作MFA疲劳攻击。MFA疲劳攻击指的是黑客在获得对登录凭据的访问权限后,通过反复发送push通知来批准登录,诱骗用户授予对帐户的访问权限。最终,用户由于疲劳或疏忽批准了发过来的通知,从而授予黑客访问其帐户的权限。
黑客不停的触发登录批准请求推送通知到受害者的设备上,一般来讲受害者是不会立刻去点击授权,而是心中在纳闷:什么情况,这是怎么回事?这时候受害者的信任程度只有30%左右。
然后攻击者做了重要的一步,就是通过一些社会工程学的方式联系到受害者,扮演公司的IT管理人员通知受害者:你的系统出问题了,必须接受通知才能停止推送,才能修复问题。
出问题了,IT管理员及时来联系处理,受害者心里大概率会认为:一定是我们自己的IT管理员,不然不可能这么快知道我这边出问题了,而且还能指名道姓准确说出我的姓名和部门。此时受害者信任程度飙升到80%左右,因此很多员工都会按“假管理员”所要求的执行。
思考:重夺用户信任,抵御MFA疲劳攻击
随着数据泄露事件的频发,方方面面的数据都有可能掌握在黑客手里,这时候MFA疲劳攻击的成功将变得相对容易。作为零信任访问安全产品的先行者和践行者,同时作为用户访问应用资源的唯一入口,守好第一道大门是重中之重。我们需要思考,甲方如何利用我们的产品来抵御MFA疲劳攻击。首先我们的产品会有多道防御策略,在某些策略情况下即使攻击者拿到了账号密码+MFA也是无法登录的。接下来要讨论的是在这些策略都没有开启的情况,我们需要如何直面MFA疲劳攻击。
我们认为,重夺用户的信任,对抗MFA疲劳攻击应是一个整体工程。
01用户MFA教育
对用户的MFA教育至关重要,让每个用户变成我们防线的一部分。应该让用户了解,如果他们在手机上收到可疑的推送请求,应该做什么以及如何响应,更要让用户了解点击确认将意味着什么。如果确实发生此类事件,还必须让用户了解应与谁联系,确定该事件是技术问题还是恶意事件,而不是一味地单方面接受攻击者的错误引导。
02MFA推送提醒优化
当攻击者不停的触发MFA推送请求的时候,系统应该触发保护机制,提醒可能正在遭受MFA疲劳攻击,并且给出管理员联系人,以对抗假管理员的诱导行为。很显然,这两次攻击事件中Cisco和Uber都没有做到,导致受害者信任了攻击者。
03更严格的设备管控策略
Cisco和Uber这两家公司为了更好的体验,采用了宽松的设备管控策略。在可以实施严格的设备管控策略情况下,尽可能实施真正的设备管控策略,只有预先登记或者公司的可信设备才可以访问内网资源。当然这也会造成一定的管理成本增加。
04 更严格的登录策略
发挥零信任产品的特性,在登录环节强制执行一组登录基线安全策略。这可确保接入设备符合环境中的安全要求,一定程度上可以防止之前未经批准的恶意设备连接到公司内网。
总结
MFA疲劳攻击就像我们常常听说的社工邮件钓鱼、精准诈骗一样,是一样的顽疾,短时间内不会消亡。MFA不是万能的,企业都需要多加小心。对于我们安全厂商来说,要时刻紧盯黑客的攻击手法,推演攻击手法,做到知己知彼,快速进化我们的产品,真正帮助企业用户守好最为关键的第一道大门。
小Tip:什么是MFA
MFA (Multi-Factor Authentication)中文译作多因素认证或多因子认证,指的是在用户名+密码的认证方式之外再额外增加一层安全保护,用户要通过两种以上的认证机制之后才能得到授权使用计算机资源。例如,在使用网银的时候,用户除了输入用户名、密码外,还可能需要输入短信验证码,这就是一种典型的MFA。
