之前我写了九期 CISO 聚焦系列的文章。在 CISO 聚焦系列中,关注的更多还是企业安全战略、企业安全转型和发展趋势、安全技术发展趋势、安全整体架构等等。有的朋友可能会想我是不是一个只是擅长于“纸上谈兵”的人,其实恰恰相反,我一直崇尚“实战是检验网络安全能力的唯一标准”,自己虽然是首席网络安全架构师,但是比较喜欢实战,经常深入到企业客户一线,直面全球网络安全威胁,具有非常丰富的网络安全技术实战经验,也有很多特别的经历。

微软安全(包含网络安全产品和技术服务支持)在全球服务近 90 万的企业客户,无论是安全建设、安全运营、还是安全事件响应,微软安全团队均具有非常丰富的实战经验和客户案例。在这个网络安全实战系列文章中,我将会为大家展现一些精彩的网络安全实战案例,从而可以让大家更好的了解目前的网络安全态势和先进攻击手法,从而更好的保护好自己和企业。

多因素身份验证(MFA)是一个简单但却极为有效的凭据安全控制措施。在2019年的一项研究中表明,启用多因素身份验证可以防止99.9%的凭据窃取类攻击。但是网络安全无论攻防两端,都是一个持续高度进化的过程,因此到了仅仅才四年后的今天,启用多因素身份验证的收益已经大不如前,攻击者也在通过不同的攻击技术来绕过多因素身份验证保护的限制,如我们今天分享这个非常精巧的 APT 攻击案例。

🔵 顺便给赵括平个反。赵括绝非只会“纸上谈兵”的庸才,反而是一个难得的帅才。长平之战中他的失败更多是因为赵国与秦国国力相比差距太大、再遇上白起这个战神所导致的。大家有兴趣可以去看看相关的历史记载。

胜可知,亦可为

在讲具体安全事件案例之前,还是先给大家鼓鼓气。

根据 2023年 Check Point 发布的最新安全分析报告,在 2022 年,亚太地区企业为平均每周遭遇 1,691 次攻击行为,同比增长 22%。

从中可以看出目前网络安全态势严峻,各种勒索攻击、数据泄露、网络破坏安全事件层出不穷,攻击者在其中部分案例中展现出了各种高级、精巧甚至可以说是卓越的攻击手法。通常情况下,基于攻击动机、技术手法的不同,绝大部分常规企业所面临的网络攻击行为,最主要的两种是

【1】以金钱为动机的、基于安全漏洞的自动化攻击行为。这种攻击行为以勒索病毒、挖矿病毒、钓鱼邮件为典型,通常攻击者利用自身控制的攻击基础设施(例如直接访问 Internet 的端点、租用的云计算 VM、之前控制的“肉鸡”/物联网设备等等)对 Internet 发起广泛的扫描和基于安全漏洞(包括最新的或之前的)的自动化攻击行为,目前也发展为结合人为控制的攻击行为(特别是在通过自动化攻击打开突破口之后)。这种攻击行为基本没有特定的攻击目标,一开始就是广撒网、碰运气、看能钓上多少鱼而已,由于攻击者发起这类攻击的攻击成本极低,因此回报率仍然极高。攻击者的最终目标是通过数字化货币变现(勒索或挖矿),企业组织遇上这类攻击之后安全事件爆发快、持续周期短、损失不定。前几年时,勒索攻击和挖矿攻击各自占据的比例还基本能够持平,但随着数字化货币价格的一路走低,目前直接的勒索攻击已经占据了主流(比例超过了 50%)。

【2】以商业竞争、IP/机密/隐私数据窃取/泄露、金钱勒索/商业欺诈为动机的定点 APT 攻击行为。这种攻击行为具有非常高的目的性,通常是由有组织的攻击团队发起的 APT 攻击行为,在其中除了充分利用最新的安全漏洞甚至 0 day 漏洞之外,也会大量采用凭据窃取、提权、横向移动、数据泄露、环境破坏等高级攻击操作手法,甚至长期性的隐藏潜伏并实现企业网络环境的持续命令与监控。这种 APT 攻击行为可能不容易被发现,并且基于攻击者的目的不同,持续的周期也可能有长有短,遇上之后企业的损失通常较为惨重。

那大家也可能会想,是不是我们运气好一点,就不会遇到上述的攻击行为呢?基于企业规模、性质的不同,小一点规模的常规企业,第二种定点 APT 攻击行为或许是有可能不会遇到的,但是遭遇第一种自动化攻击行为必定是难免的。而且,上面只是介绍了两种主要的攻击行为,除此之外,我们还会面临其他的攻击行为例如很容易被忽略的内部人员攻击行为、基于商业竞争/勒索的 DDOS 攻击行为等等。

《孙子兵法》里面也说的很清楚,“用兵之法,无恃其不来,恃吾有以待之;无恃其不攻,恃吾有所不可攻也。”,因此我们不要有任何的侥幸心理,而是需要做好充分的网络安全应对准备,才能“恃吾有以待之”、“恃吾有所不可攻也”。

作为数字化转型的基础,网络安全是企业组织发展所不可缺少的。我们必须考虑业务、IT 和网络安全在数字化转型中的关联一致性,只有通过引入合理充分的网络安全措施,使企业组织尽可能地抵御现代化的攻击,才能支撑企业组织实现业务创新、提高生产力并最终实现数字化转型。在 CISO 聚焦系列文章《CISO 聚焦 | 如何构建企业组织的网络安全韧性和数字连续性》中,我们谈到了企业应当如何去构建整体全面的网络安全韧性,包含以下方面:

【1】管理和权衡企业组织在数字化转型中的风险与回报,实现合理有效的网络安全投入产出。

【2】网络安全基础最佳实践,确保企业组织的核心网络安全基础控制满足安全最佳实践的基本核心要求,例如采用零信任架构、多因素身份验证、部署 XDR 进行威胁防护、及时进行安全更新、做好数据安全防护等等。

【3】威胁保护:针对已知攻击提供保护、预防新的攻击行为以及自动响应与修复的能力。

【4】被攻击面管理:主动检测安全配置、威胁、漏洞,分析被攻击面并实时响应的能力。

【5】通过故障隔离和微分区减少攻击事件和灾难的影响。

【6】发生业务中断时的高可用性、冗余和自动恢复

【7】供应链韧性:了解并明确对供应链资源(包含内部、外部资源,例如云计算服务)的共同责任、依赖关系和其韧性。

“万丈高楼平地起”,无论是网络安全的攻击技术,还是防护技术,都是由基础技术和高阶技术组合而成的,相互之间是组合、叠加关系而非替代关系。在攻击者发起攻击行为时,也很难一上来就直接使用最新的 0 day 漏洞来攻击,而主要都是结合基础性和高阶性的攻击技术操作例如钓鱼邮件、凭据窃取、Web 漏洞注入等进行的。而防守时也是一样的,如果连最基本的系统安全更新都不能及时安装,又何谈实现完善的企业零信任架构呢?

企业在遭遇网络攻击时,是否能够成功防御,其实在攻击发生之前就已经先确定了,孙子兵法中所言的:“是故胜兵先胜而后求战,败兵先战而后求胜”、“胜已败者也”,就是说的这个道理。反而言之,当我们通过在网络安全方面的充分准备和应对,也是可以实现“胜可知,亦可为”的。

更多的相关介绍,请参考本文尾部的 CISO 聚焦系列文章。

绕过MFA的精巧APT攻击案例

多因素身份验证(MFA)是一个简单但却极为有效的凭据安全控制措施。在2019年的一项研究中表明,启用多因素身份验证可以防止99.9%的凭据窃取类攻击。但是网络安全无论攻防两端,都是一个持续高度进化的过程,因此到了仅仅才四年后的今天,启用多因素身份验证的收益已经大不如前,攻击者也在通过不同的攻击技术来绕过多因素身份验证保护的限制,如我们今天分享这个非常精巧的 APT 攻击案例。

这是微软安全团队最新发现的一个针对银行和金融服务机构的多攻击阶段的、基于中间人攻击技术(AiTM)的网络钓鱼和商业邮件欺诈(BEC)的、绕过多因素身份验证(MFA)的 APT 攻击案例,非常精巧和厉害,目前我们也发现更多的 APT 攻击组织在使用类似的技术来攻击其他的企业组织。这次 APT 攻击起源于一个供应商遭遇钓鱼邮件攻击,并随之演变成针对多个企业组织的、后续一系列的中间人攻击和商业邮件欺诈攻击活动,在整个攻击过程中,攻击者使用了印尼、伊朗和美国等不同地区的资源来进行复杂的攻击行为。同时在这个案例中充分的显示了基于中间人攻击技术(AiTM)的网络钓鱼和商业邮件欺诈(BEC)的复杂性,它们滥用供应商、供货商和其他合作伙伴组织之间的信任关系,目的是进行金融欺诈。整个安全事件的完整攻击流程如下图所示:

中间人攻击技术(AiTM)是一种旨在拦截用户和正常服务之间的认证的攻击,目的是窃取、篡改身份或执行其他行动。攻击者将自己置于用户和服务之间,窃取用户凭证并拦截后续的多因素身份验证(MFA)信息,以捕获用户通过身份验证的会话 Cookie。然后,攻击者可以在会话 Cookie 到期前利用窃取的用户会话 Cookie 重放会话并伪冒用户身份,攻击者从而可以访问受害用户允许访问的资源和应用程序,并进行后续的商业邮件欺诈(BEC)攻击和其他恶意活动。

在本次安全事件中,为了绕过 MFA 的限制,攻击者采用了新型的间接代理技术,而不是之前所常见的反向代理技术,这也充分的展现了攻击技术的不断进化。攻击者向攻击目标用户展示了一个仿冒目标应用程序登录页面的网站,就像传统的网络钓鱼攻击一样,托管在云服务中。上述登录页面包含从攻击者控制的服务器加载的资源,该服务器使用受害者的身份凭据与目标应用程序的进行认证会话。在这种采用间接代理方法的 AiTM 攻击中,由于钓鱼网站是由攻击者设置的,他们有更多的控制权和灵活性,可以根据情况修改显示的内容。此外,由于钓鱼网站的服务系统基础设施是由攻击者控制的,他们可以灵活地创建多个服务器来逃避检测。并且与之前传统的 AiTM 攻击技术不同,在目标和实际网站之间没有 HTTP 数据包的代理。

当受害者的用户密码验证成功后请求 MFA 时,服务器会显示一个假的 MFA 页面。一旦用户提供了 MFA 相关信息并通过验证,攻击者就会窃取受害者通过 MFA 身份验证的相关会话凭证/ Cookie,而受害者被重定向到另一个页面。下图说明了在这种情况下观察到的完整 AiTM 攻击流程:

在通过会话重放技术使用窃取的会话凭证/ Cookie 之后,攻击者更新了受害用户的多因素认证(MFA)相关配置,从而能够更持久的维持权限,随即进行了第二阶段的邮件钓鱼活动,向被攻击用户的联系人发送了超过一万六千封钓鱼邮件,并进行后续的商业邮件欺诈(BEC)攻击。

完整攻击链分析

对于本次 APT 攻击事件中完整的攻击链分析如下图所示,具体说明如后文所示:

第一阶段

通过受信任的供应商打开突破口

最初的攻击是从来自一个受信任的供应商的一封钓鱼邮件开始的。从受信任的供应商处发送钓鱼邮件给攻击目标是 APT 攻击者的常见行为之一,这种行为的目的是滥用受信任的供应商关系,并与正常的电子邮件混淆,从而增加攻击成功率。同时一些企业组织会有自动允许来自受信任的供应商的电子邮件的政策,使攻击者能够逃避检测。

这封钓鱼邮件的主题是一个七位数字的代码,而这个代码对于每个目标组织来说都是独一无二的,这应该是攻击者的一个跟踪机制。在这个钓鱼邮件的正文中包含一个查看或下载传真文件的链接,而这个链接指向一个托管在 canva[.]com 的恶意 URL。

第二阶段

点击恶意的 URL

攻击者经常滥用公共的网络服务和品牌来进行攻击行为并逃避检测。在这种情况下,我们观察到攻击者利用公共服务 Canva 进行钓鱼活动。Canva 是一个图形设计平台,允许用户创建社交媒体图形、演示文稿、海报和其他视觉内容。攻击者滥用 Canva 平台来托管一个页面,该页面显示一个虚假的 OneDrive 文档预览,并链接到一个钓鱼网站,如下图所示:

第三阶段

AiTM 攻击

访问该 URL 会将用户重定向到一个位于印度尼西亚的、托管在某云平台上的钓鱼网页,该网页伪冒了微软的登录页面。即便每个用户访问的 URL 都是不同的,但显示的是相同的欺骗性登录页面。

当受害用户在此钓鱼页面上提供密码后,攻击者就在目标网站上创建的用户认证会话中使用该凭证。当攻击者在认证会话中被提示使用 MFA 时,攻击者将钓鱼页面修改为一个伪造的 MFA 页面(如下图所示)。一旦受害用户完成多因素认证,会话凭证就会被攻击者窃取并后续使用。

第四阶段

重放会话 Cookie

在窃取用户的会话凭证/ Cookie 之后,攻击者后续持续使用这个有效的会话凭证/ Cookie 来伪冒用户身份,并规避密码和 MFA 的认证机制。在这次攻击中,我们观察到攻击者在几个小时后从一个位于美国的 IP 地址用被盗的会话凭证/ Cookie 登录。攻击者通过这种会话重放攻击伪装成受害者的身份,并访问云端托管的电子邮件对话和文件。此外,攻击者还生成了一个新的访问凭证,使他们能够在环境中持续更长时间。

第五阶段

修改 MFA 身份验证方法

为了能够更持久的维持权限,攻击者更新受害用户的多因素认证(MFA)相关配置,并添加了一个伊朗的电话号码作为基于电话的一次性密码(OTP)的多因素身份验证方式。

第六阶段

创建收件箱规则

然后攻击者利用新的会话凭证登录用户邮箱,并创建了一个收件箱规则,将用户邮箱中所有收到的邮件移到存档文件夹中,并将所有邮件标记为已读。

第七阶段

钓鱼活动

在创建收件箱规则之后,攻击者发起了大规模的网络钓鱼活动,向被攻击用户的联系人发送了超过一万六千封钓鱼邮件,这个钓鱼邮件如打开突破口的那封包含 Canva 网址的钓鱼邮件,只是稍加修改,电子邮件的主题同样包含一个独特的七位数代码,用于后续的跟踪。这些邮件被发送到受害用户的联系人,包括组织内部和外部的联系人,以及邮件分发列表。钓鱼邮件的收件人是根据受害用户收件箱中最近的电子邮件收发行为来确定的。

第八阶段

BEC 战术

然后,攻击者监控受害者用户的邮箱,寻找未送达和 Out of Office 的电子邮件回复,并从存档文件夹中删除它们。如果有收件人回复邮件并表示对这封邮件的质疑,则攻击者会回复邮件并承认这封邮件是有问题的,然后将这些邮件和回复从邮箱中删除。这是在商业邮件欺诈(BEC)攻击中的常见行为,这样的目标是为了让相关受害者不发现异常行为,从而有助于攻击者长期的潜伏和行动。

第九阶段

账户沦陷

收到钓鱼邮件的一些企业组织内部的其他用户账户也沦陷了。通过相关的安全溯源分析,我们定位到了所有沦陷的受害用户。

第十阶段

又一波商业邮件欺诈攻击

攻击者利用一个被第二次 AiTM 攻击入侵的用户邮箱,又发起了另外一次网络钓鱼活动。在此过程中,应客户的请求,微软安全团队及时撤销了被攻击用户的会话 Cookie,阻止了这次商业邮件欺诈攻击行为。

4

安全响应措施

这次安全事件中除了凸显出基于中间人攻击技术(AiTM)的网络钓鱼和商业邮件欺诈(BEC)的复杂性之外,与之相对应的安全防御和响应措施也极为复杂。例如需要重置相关用户的密码、检查相关 MFA 身份验证配置、撤销用户所有会话 Cookie(如下图所示)、配置 Azure AD 身份保护策略、配置 Azure AD 基于条件的访问控制策略(CA)等等。

在身份凭据泄露场景中,传统的安全应对措施是重置用户密码。但是在会话Cookie被窃取的情况下,单纯的密码重置并不是一个有效的解决方案,还需要撤销所有的现有用户会话 Cookie。即便如此,在启用多因素身份验证(MFA)的场景下,如果受害者的 MFA 方式被攻击者恶意篡改,如果用户密码尚未重置,攻击者仍然可以持续的控制受害者的用户账户,继续拥有窃取的用户身份。

在这次攻击中,多因素身份验证(MFA)被攻击者通过精巧的攻击方式给绕过。但是即便如此,MFA 仍然是一个重要的防范凭据窃取的有效安全控制措施,企业组织中需要继续广泛应用,并可以参考以下安全最佳实践来补充加强防范类似攻击行为:

【1】通过 Microsoft Defender for Office 365 来防范钓鱼邮件攻击行为;

【2】通过 Azure AD Identity Protection 实现基于用户登录风险和用户身份风险的访问控制,例如直接拒绝风险为高的用户登录(如下图所示);

【3】通过 Azure AD 基于条件的访问控制策略,对于特定用户、特定场景或特定风险登录,要求使用特定的 MFA 验证强度和方式,或者要求仅允许通过注册合规的设备登录(如下图所示);

【4】通过 Microsoft Defender for

Endpoint 来保护端点设备的安全性;

【5】通过 Microsoft Sentinel 来持续监控可疑或异常的活动,对具有可疑特征的登录尝试(例如异常位置、ISP、用户代理和使用匿名服务)进行威胁猎捕和溯源分析。

关于微软智能集成安全解决方案的相关概要说明可以参考以下架构图。

无论是安全、身份、端点、数据、SOC 还是隐私合规,所有微软安全产品系列作为一个跨云和跨平台的智能集成综合安全解决方案协同工作,帮助客户实现统一集成的、自动化的安全防护和管理,利用全球领先地安全产品和技术,在避免冗余和重叠的同时,最大限度地发挥其现有产品的价值,同时简化包含部署成本、管理成本在内的总体拥有成本,并降低整体复杂性。

5

结束语

网络安全面对的是全世界智商最高的犯罪分子。我们不能低估我们的对手,也不能高估自己的能力。网络安全是一个持续进化的旅程,而不是一个结果。网络安全无论攻防两端,都是一个动态发展、持续提高的过程,“防得了一时,防不了一世”。没有绝对的安全,也没有永远的安全,只有相对暂时的安全。同时网络安全本身也存在价值悖论:不出安全事件不容易凸显价值,出了安全事件更显得没有价值。

那么企业如何建设网络安全呢?企业网络安全的投入和产出趋势可以参考以下趋势图,越是想要做的完善,投入就越大,而且到后期收益就越不明显:

如何确保企业的网络安全措施是合理充分的?在满足法律合规要求的必备基础上,这取决于企业自身的整体风险管理(例如风险评估、风险偏好、风险控制计划和投入产出期望等等)。网络安全韧性和数字连续性应当构建到企业组织的核心体系架构中,与企业财务与业务运营的韧性一样重要。我们必须充分考虑业务、IT 和网络安全在数字化转型中的关联一致性,只有通过引入合理充分的网络安全措施,使企业组织尽可能地抵御现代化的攻击,才能支撑企业组织实现业务创新、提高生产力并最终实现数字化转型。关于企业网络安全战略和规划更为详细的信息,请重点参考以下两篇 CISO 聚焦系列文章:

张美波先生现任微软(中国)有限公司网络安全总监,并兼任网络安全首席架构师。他以“展现微软安全价值,守护企业客户安全”为己任,带领微软网络安全团队主要负责微软企业客户的网络安全技术与服务支持,推动微软网络安全产品和技术在中国的高速增长与应用。他曾是微软全球企业服务体系级别最高的技术专家之一,在多个具有全球排名前列的 Top 超大规模环境企业客户担任微软方的基础架构/网络安全架构师和“红军/蓝军”顾问,负责相关的安全架构体系规划设计与部署实施、 APT 攻击相关防范、安全运营及安全响应等。

声明:本文来自Azure云科技,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。