突破防线：推送通知攻击技术剖析

在过去几年中，攻击者通过多种密码猜测手段在目标环境中获得了显著进展。这一趋势在2020年Verizon数据泄露调查报告(DBIR)的主要威胁行为种类中得到体现。

凭证盗用的威胁态势

在被披露的泄露事件中，被盗凭证的使用仅次于网络钓鱼，成为第二常用的威胁行为。恶意软件变种在该列表中仅排名第七。

面对这种情况，组织迅速在其关键互联网服务上采用了多因素认证(MFA)，包括虚拟专用网络(VPN)、虚拟桌面基础设施(VDI)、基于网页的电子邮件门户等。COVID-19危机加剧了这一趋势，因为整个组织都转向了远程工作。

双因素认证的局限性

与其他安全形式一样，双因素认证并非万能解决方案。攻击者已经开发出巧妙的方法来绕过双因素认证，使用诸如CredSniper、Modlishka和Evilginx2等反向代理软件。

在某些服务中，即使强制执行双因素认证，服务执行次要因素的顺序也可能允许攻击者验证用户凭证。发生这种情况时，攻击者仍然可以执行密码喷洒等攻击来识别弱密码。然后，攻击者可以使用已验证的凭证尝试验证组织暴露的其他服务，并确认双因素认证在整个组织中的实施是否一致。

顺序检查凭证的服务还可用于识别未启用双因素认证的账户。

攻击技术详解

通过观察，我们发现一种技术在发现启用双因素认证但允许在检查次要认证因素之前验证凭证的服务时特别有效。

首先，我们通常执行上述密码喷洒攻击。如果您不熟悉密码喷洒技术，以下是一些描述该技术的优质参考资料：

接下来，在获得有效凭证后，我们向配置为支持推送通知的用户发送推送通知，并观察哪些用户盲目接受。我们通常会在目标用户时区的特定时间执行此活动，例如上午8-9点、中午12-1点或下午6-7点。选择这些时间是因为它们很可能与用户早上首次认证、午餐后返回或离开办公室后认证的时间相近。即使只有少量有效凭证，这种技术似乎也非常有效。

安全意识培训的重要性

基于以上情况，对用户进行适当培训以识别与双因素认证相关的异常行为至关重要。以下所有都是用户应该了解并向信息安全部门报告的攻击指标：

• 未经请求的电话验证
• 未经请求的推送通知
• 来自新位置/设备的登录通知

在我们参与的许多项目中，上述活动从未被报告。当这些活动发生时，毫无疑问意味着用户的密码已被泄露。如果用户不理解这种关联，他们将永远不会报告这些活动。

随着许多组织将其IT基础设施的重要部分迁移到云端，此类泄露可能带来毁灭性后果。我们最近的Attack Tactics 8网络研讨会刚刚讨论了这样一个场景。