突破双因素认证：密码喷洒与推送通知攻击技术解析

David Fletcher //

近年来，攻击者通过多种密码猜测手段在目标环境中取得了显著进展。这一趋势在2020年Verizon数据泄露调查报告（DBIR）的高频威胁行为类别中得到明确体现。

被盗凭证的使用仅次于网络钓鱼，成为已披露数据泄露中第二常见的威胁行为。恶意软件变种在该列表中仅排名第七。

基于上述背景，各类组织迅速在关键互联网服务上部署了多因素认证（MFA），包括虚拟专用网络（VPN）、虚拟桌面基础设施（VDI）、基于网页的电子邮件门户等。COVID-19危机加剧了这一趋势，迫使整个组织转向远程办公。

与其他安全措施一样，双因素认证并非万能解决方案。攻击者已开发出巧妙方法绕过双因素认证，例如使用反向代理软件（如CredSniper、Modlishka和Evilginx2）。

在某些服务中，即使强制启用双因素认证，服务执行二次认证因子的操作顺序可能允许攻击者验证用户凭证。此时，攻击者仍可执行密码喷洒攻击以识别弱密码，然后利用已验证的凭证尝试认证组织暴露的其他服务，并验证双因素认证在全组织的一致性。串行检查凭证的服务还可用于识别未启用双因素认证的账户。

实践中，我们发现一种技术极为有效：当找到启用双因素认证但允许在检查二次认证因子前验证凭证的服务时，首先执行密码喷洒（技术细节可参考：
https://www.blackhillsinfosec.com/password-spraying-outlook-web-access-how-to-gain-access-to-domain-credentials-without-being-on-a-targets-network-part-2/
https://www.blackhillsinfosec.com/introducing-mailsniper-a-tool-for-searching-every-users-email-for-sensitive-data/）。

接下来，利用获取的有效凭证，向配置支持推送通知的用户发送通知，观察哪些用户盲目接受。我们通常在特定时间段执行此操作（例如目标用户时区的上午8-9点、中午12-1点或下午6-7点），这些时段用户可能首次晨间认证、午餐返回或下班后认证。即使有效凭证数量有限，该技术仍非常有效。

因此，对用户进行正确培训以识别双因素认证相关异常行为至关重要。以下所有迹象都应作为威胁指标教育用户并报告信息安全部门：

• 未经请求的电话验证
• 未经请求的推送通知
• 来自新位置/设备的登录通知

在许多实际案例中，上述活动从未被报告。当这些活动发生时，明确意味着用户密码已泄露。如果用户不理解这种关联，他们将永远不会报告该活动。

随着众多组织将大量IT基础设施迁移至云端，此类泄露可能带来毁灭性后果。我们最近的"攻击战术8"网络研讨会刚刚讨论了这样一个场景。