一種狡猾的新型網(wǎng)絡(luò)釣魚技術(shù)允許攻擊者通過使用 VNC 屏幕共享系統(tǒng)讓受害者直接在攻擊者控制的服務(wù)器上秘密登錄其帳戶��,從而繞過多因素身份驗證 (MFA)�。
成功進行網(wǎng)絡(luò)釣魚攻擊的最大障礙之一是繞過在目標(biāo)受害者的電子郵件帳戶上配置的多因素身份驗證 (MFA)��。
即使威脅行為者可以說服用戶在網(wǎng)絡(luò)釣魚站點上輸入他們的憑據(jù)���,但如果在有 MFA 保護帳戶的情況下�,想要完全破壞帳戶仍然需要向用戶發(fā)送一次性密碼���。
為了訪問受 MFA 保護的目標(biāo)帳戶��,網(wǎng)絡(luò)釣魚工具包已更新為使用反向代理或其他方法從不知情的受害者那里收集 MFA 代碼���。
但是��,一些公司已經(jīng)掌握了這種方法�����,并開始引入安全措施����,當(dāng)檢測到反向代理時�,可以阻止登錄或停用帳戶。
VNC 救援
在為客戶進行滲透測試時����,安全研究員 mr.d0x 試圖對客戶的員工發(fā)起網(wǎng)絡(luò)釣魚攻擊,以獲取公司帳戶憑據(jù)����。
因為這些帳戶都配置了 MFA,所以mr.d0x 使用 Evilginx2 攻擊框架設(shè)置了網(wǎng)絡(luò)釣魚攻擊����,該框架充當(dāng)反向代理來竊取憑據(jù)和 MFA 代碼����。
在進行測試時���,研究人員發(fā)現(xiàn)谷歌在檢測到反向代理或中間人 (MiTM) 攻擊時會阻止賬戶登錄����。
mr.d0x 告訴 BleepingComputer����,這是谷歌 在 2019 年添加的一項新的安全功能�����,專門用于防止此類攻擊�。
image.png
谷歌瀏覽器登錄阻止 MiTM 攻擊
來源:mr.d0x
研究人員還告訴 BleepingComputer,像LinkedIn 這類網(wǎng)站會在成功登錄后檢測到中間人 (MiTM) 攻擊����,并停用帳戶。
為了克服這個障礙��,mr.d0x 提出了一種狡猾的新網(wǎng)絡(luò)釣魚技術(shù),它使用 noVNC 遠程訪問軟件和以 kiosk 模式運行的瀏覽器來顯示在攻擊者服務(wù)器上運行但在受害者瀏覽器中顯示的電子郵件登錄提示����。
VNC 是一個遠程訪問軟件,允許遠程用戶連接并控制已登錄用戶的桌面���。大多數(shù)人通過專用 VNC 客戶端連接到 VNC 服務(wù)器���,這些客戶端以類似于 Windows 遠程桌面的方式打開遠程桌面。
然而�,一個名為 noVNC 的程序允許用戶只通過點擊一個鏈接直接從瀏覽器內(nèi)連接到 VNC 服務(wù)器,這正是研究人員的新網(wǎng)絡(luò)釣魚技術(shù)發(fā)揮作用的時候了��。
“那么我們?nèi)绾问褂?noVNC 竊取憑據(jù)并繞過 2FA呢�����?使用 noVNC 設(shè)置服務(wù)器�,在 kiosk 模式下運行 Firefox(或任何其他瀏覽器)并前往您希望用戶進行身份驗證的網(wǎng)站(例如 accounts.google .com),” mr.d0x 在一份關(guān)于新釣魚技術(shù)的新報告中解釋道����。
“將鏈接發(fā)送給目標(biāo)用戶,當(dāng)用戶單擊 URL 時���,他們將在沒毫無察覺到的情況下訪問 VNC 會話�。并且由于您已經(jīng)將 Firefox 設(shè)置為 kiosk 模式,因此正如預(yù)期的那樣���,所有用戶將看到的只是一個網(wǎng)頁����。"
通過使用此配置����,攻擊者可以發(fā)送有針對性的魚叉式網(wǎng)絡(luò)釣魚電子郵件,其中包含自動啟動目標(biāo)瀏覽器并登錄到攻擊者遠程 VNC 服務(wù)器的鏈接��。
這些鏈接是高級可定制的����,允許攻擊者創(chuàng)建看起來不像可疑 VNC 登錄 URL 的鏈接���,如下所示:
Example[.]com/index.html?id=VNCPASSWORD
Example[.]com/auth/login?name=password
由于攻擊者的 VNC 服務(wù)器配置為以 kiosk 模式運行瀏覽器�����,即以全屏模式運行瀏覽器��,因此當(dāng)受害者單擊鏈接時����,他們只會看到目標(biāo)電子郵件服務(wù)的登錄屏幕,然后正常登錄���。
然而�����,由于登錄提示實際上是在攻擊者的 VNC 服務(wù)器顯示的�����,所有登錄嘗試都將直接發(fā)生在遠程服務(wù)器上��。mr.d0x 告訴 BleepingComputer��,一旦用戶登錄該帳戶����,攻擊者就可以使用各種工具竊取憑據(jù)和安全令牌�。
更危險的是,這種技術(shù)將繞過 MFA��,因為用戶將直接在攻擊者的服務(wù)器上輸入一次性密碼,授權(quán)該設(shè)備將來的登錄嘗試�。
“因為它是我的服務(wù)器,所以我可以有很多技巧��,例如說我有 burp suite 或任何其他 HTTP 代理連接到這個瀏覽器并捕獲所有發(fā)生的 HTTP 請求����。當(dāng)用戶完成請求后,我可以檢查請求并獲取用戶名和密碼以及會話令牌�����,”mr.d0x 在關(guān)于攻擊的對話中告訴 BleepingComputer�����。
另一種選擇是在發(fā)送網(wǎng)絡(luò)釣魚鏈接之前將 JS 注入瀏覽器����。當(dāng)用戶開始使用瀏覽器時��,就會運行我的 JS�����。當(dāng)然,還有很多選擇�,因為用戶最終都會在您的服務(wù)器上進行身份驗證��!
如果攻擊僅限于針對少數(shù)人使用��,只需通過攻擊者的 VNC 會話登錄他們的電子郵件帳戶�����,就可以授權(quán)設(shè)備在未來連接到該帳戶�����。
由于 VNC 允許多人監(jiān)控同一個會話����,因此攻擊者可以在帳戶登錄后斷開受害者的會話,并在稍后連接到同一會話以訪問該帳戶及其所有電子郵件���。
雖然這種攻擊尚未被使用于現(xiàn)實世界���,但研究人員告訴 BleepingComputer,他相信未來攻擊者會使用它。
至于如何保護自己免受這些類型的攻擊��,所有網(wǎng)絡(luò)釣魚的建議都是一樣的:不要點擊來自未知發(fā)件人的 URL�,檢查嵌入的鏈接中是否有不尋常的域,并將所有電子郵件視為可疑郵件�,尤其是當(dāng)它提示您登錄帳戶時。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
