突破防线：利用双因素认证漏洞的渗透技术

David Fletcher //

过去几年中，攻击者通过多种密码猜测方式在目标环境中取得了显著进展。这一情况在2020年Verizon数据泄露调查报告（DBIR）的顶级威胁行动种类中有所体现。

使用被盗凭证仅次于网络钓鱼，成为已披露数据泄露中第二常用的威胁行动。恶意软件变种在该列表中仅排在第七位。

因此，组织迅速在其关键面向互联网的服务（如虚拟专用网络（VPN）、虚拟桌面基础设施（VDI）、基于网络的电子邮件门户等）上采用了多因素认证。COVID-19危机加剧了这一情况，因为整个组织转向远程办公。

与其他安全形式一样，双因素认证并非万能解决方案。攻击者已经想出巧妙的方法来绕过双因素认证，使用诸如CredSniper、Modlishka和Evilginx2等反向代理软件。

在某些服务中，即使强制执行双因素认证，服务执行次要因素的顺序可能允许攻击者验证用户凭证。发生这种情况时，攻击者仍然可以执行密码喷洒等攻击来识别弱密码。然后，攻击者可以使用已验证的凭证尝试对组织暴露的其他服务进行身份验证，并验证双因素认证在组织中的实施是否一致。按顺序检查凭证的服务也可用于识别未启用双因素认证的账户。

随着时间的推移，我们观察到一种技术非常有效，即当我们能够找到启用双因素认证的服务，允许我们在检查次要认证因素之前验证凭证。首先，我们通常执行如上所述的密码喷洒。如果您不熟悉密码喷洒，以下是一些描述该技术的良好参考：

https://www.blackhillsinfosec.com/password-spraying-outlook-web-access-how-to-gain-access-to-domain-credentials-without-being-on-a-targets-network-part-2/
https://www.blackhillsinfosec.com/introducing-mailsniper-a-tool-for-searching-every-users-email-for-sensitive-data/

接下来，凭借有效的凭证，我们向配置为支持推送通知的用户发送推送通知，并查看哪些用户盲目接受。通常，我们会在一天中的特定时间执行此活动，例如目标用户时区的上午8-9点、中午12-1点或下午6-7点。选择这些时间是因为它们可能是用户早上首次认证、午餐后返回或离开办公室后认证的大致时间。即使只有少量有效凭证，这种技术似乎也非常有效。

因此，对用户进行适当培训以识别与双因素认证相关的异常行为至关重要。以下所有内容都是用户应了解并报告给信息安全部门的入侵指标：

• 未经请求的电话验证
• 未经请求的推送通知
• 来自新位置/设备的登录通知

在我们许多的参与中，上述活动从未被报告。当这些活动发生时，毫无疑问意味着用户的密码已被泄露。如果用户不理解这种关联，他们将永远不会报告该活动。

随着许多组织将其IT基础设施的重要部分迁移到云端，此类泄露可能带来毁灭性后果。我们刚刚在Attack Tactics 8网络研讨会中讨论了这样一种场景。