中间人攻击(AitM)后的利用技术详解
引言
本次网络研讨会最初于2024年10月24日播出。Michael Allen讨论了中间人攻击后的利用技术和流程,解释了Black Hills Information Security团队如何通过持续渗透测试发现漏洞并提升安全性。会议涵盖了攻击者在入侵后的实际步骤、如何防御这些攻击,以及持续测试对有效识别和修复安全漏洞的重要性。
关键要点
- 阻止用户警报:通过创建邮件规则阻止用户收到可疑账户活动的警报邮件。
- 操作安全提示:避免推送通知以防止警报,最小化登录次数,重置MFA方法以维持操作安全。
- 聊天机器人辅助的多因素认证设置:用户外出时,通过友好的聊天机器人重置多因素令牌。
- 利用单点登录访问内部网络:通过基于Web的远程桌面服务访问内部网络,无需多因素认证。
- 使用Firefox标签重载器维持活动会话:通过Firefox扩展定期自动重载标签页以保持Web应用会话活跃。
- 理解Microsoft服务中的设备代码认证:探索设备代码认证在Microsoft服务中的工作原理,允许智能设备无缝安全地访问账户。
- 缓解中间人攻击的策略:使用多因素认证和受限网络访问策略防御中间人攻击。
- 优化入侵后的安全措施:配置单点登录门户的会话过期时间,限制远程访问以增强安全性。
- 合规性的未来:持续渗透测试对合规性至关重要,预计未来法规将要求组织进行持续安全评估。
详细内容
阻止用户警报
攻击者首先创建邮件规则,阻止用户收到关于可疑账户活动的警报邮件。规则设置为删除邮件并移至垃圾文件夹,以避免干扰用户正常业务邮件。规则设置为首先处理,并停止处理其他规则,以确保不会意外删除重要邮件。
添加多因素认证令牌
默认情况下,Microsoft 365和Okta等单点登录门户在已登录用户账户时,添加第二个多因素令牌无需重新认证。攻击者利用此漏洞添加自己的令牌以维持持久访问。操作安全提示包括:
- 不移除或重置现有令牌,以避免用户求助帮助台。
- 使用Google Authenticator或TOTP令牌,避免推送通知和网络流量泄露。
- 对于其他令牌类型,使用地理定位VPN以避免触发不可能旅行警报。
- 添加令牌后,将用户的默认MFA方法恢复原值,以避免用户怀疑。
检查内部网络访问
即使未添加多因素令牌,攻击者仍可通过基于Web的远程桌面服务(如Citrix VDI、VMware Horizon、Microsoft 365虚拟桌面)访问内部网络。通过单点登录认证,攻击者可以直接在浏览器中访问桌面或应用程序,并通过简单的Shell逃逸获得完整桌面访问。
访问和维持其他Web应用
通过单点登录门户的应用页面,攻击者可以访问用户有权访问的所有Web应用。使用Firefox标签重载器扩展定期刷新页面,模拟用户活动以维持会话。不同Web应用的会话超时时间独立于单点登录门户,攻击者可以在门户会话过期后仍保持访问。
设备代码认证访问Microsoft服务
设备代码认证允许攻击者通过工具如Token Tactics获取令牌,访问Microsoft服务。攻击者使用Road Recon、Graph Runner和Azure Hound等工具收集Azure环境信息、执行Graph API操作和可视化攻击路径。但设备代码认证可能触发检测,因此需谨慎使用。
防御建议
- 防御中间人攻击:使用抗中间人攻击的多因素令牌(如U2F或FIDO2),或仅允许从内部网络或VPN登录。
- 强化多因素令牌添加配置:要求用户在添加新令牌时重新认证,或由安全团队管理令牌添加。
- 禁用设备代码认证:默认禁用设备代码认证,仅在有需要时例外。
- 配置会话超时:将单点登录门户和所有连接Web应用的会话超时时间设置为最短合理时间(建议最多12小时)。
- 限制远程网络访问:仅允许通过软件客户端访问,禁止从Web浏览器访问,以防止会话令牌被盗用。
结论
通过中间人攻击后的利用技术,攻击者可以获得持久访问并深入目标环境。防御者需采取多层次防御措施,包括强化认证配置、禁用高风险功能和控制会话生命周期,以有效缓解这些威胁。持续渗透测试和合规性评估对维护组织安全至关重要。