记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

利用凭证转储、网络钓鱼和遗留邮件协议绕过MFA入侵云账户的攻击分析

2019-03-21 12:20

概述

在最近对主要云服务租户进行的为期六个月的研究中,Proofpoint研究人员观察到利用遗留协议和凭证转储的大规模攻击,可以提高大规模暴力破解程序的速度和效率。使用IMAP对Office 365和G Suite云账户的攻击很难通过多因素身份验证来防范,其中服务账户和共享邮箱特别容易受到攻击。与此同时,有针对性的智能化暴力攻击为传统的密码喷射带来了一种新方法,即采用大型凭据转储中暴露的用户名和密码的常见变体来破坏账户。此外,复杂的网络钓鱼活动可以欺骗收件人披露身份验证凭据,为攻击者提供进入企业账户的额外途径。

Proofpoint在数百万个受监控的云用户账户中分析了超过10万次未经授权的登录,发现:

· 72%的租户至少被威胁行为者攻击一次

· 40%的租户在其环境中至少有一个被入侵的账户

· 超过2%的活跃用户账户是恶意行为者的目标

· 每1万个活跃用户账户中就有15个被攻击者成功破坏

攻击者的主要目的通常是发起内部网络钓鱼,特别是当初始目标没有移动资金或数据所需的访问权限时。对用户的云电子邮件和联系信息进行登录后访问,可以提高攻击者通过内部网络钓鱼和内部BEC,在组织内扩展立足点的能力,这些攻击比外部网络钓鱼尝试更难检测。攻击者还利用这些受信任的用户账户或品牌,发起外部攻击或利用基础架构作为更广泛的攻击活动的一部分。

攻击源头

大多数攻击者登录都来自尼日利亚的IP地址,占所有成功恶意攻击的40%,其次是来自中国IP地址的登录,占成功攻击的26%。成功攻击的其它主要来源包括美国,巴西和南非(图1)。

图1:成功恶意登录源的数量对比

在2018年11月至2019年1月期间,涉及尼日利亚IP地址的成功的暴力和网络钓鱼攻击增加了65%。虽然这些袭击并非一定都涉及尼日利亚黑客,但最近逮捕的人员和活动情况印证了该地区广泛的网络犯罪形势。

对云应用程序有针对性且智能化的暴力攻击

在我们的研究中,IMAP是最常被滥用的遗留协议。IMAP是一种绕过多因素身份验证(MFA)的遗留身份验证协议。这些攻击在设计上可以避免账户被锁定,看起来像是孤立的失败登录事件,因此不会引起注意。

· 大约60%的Microsoft Office 365和G Suite租户遭受过基于IMAP的密码喷涂攻击;

· 大约25%的Office 365和G Suite租户被成功入侵;

· 攻击者对目标组织账户的入侵成功率达到44%。

基于IMAP的密码喷涂活动特别有效,在2018年9月至2019年2月之间大量出现。这些攻击特别针对高管层用户,如高级管理人员及其行政助理。

· 平均而言,攻击者目标租户中10%的活跃用户账户进行针对攻击;

· 攻击者能够成功侵入针对性攻击账户中的1%。 

攻击者利用全球数千个被劫持的网络设备,主要是有漏洞的路由器和服务器,作为攻击活动的平台。这些被劫持的设备在50天内平均每2.5天就可以访问一个新租户。

大多数基于IMAP的攻击源于中国,占所有成功恶意攻击的53%,其次是来自巴西IP地址(39%)和美国基础设施(31%)的攻击。攻击通常来自多个地区,并且一般情况下,不要认为攻击发源地和攻击人员的国籍是一致的或直接关联。

凭证转储后,IMAP密码喷涂攻击的功效会大幅提升

图2:5个月中,与基于IMAP的密码喷涂攻击相关的账户入侵数量

世界各个行业和国家的组织都受到了影响,但K12和高等教育部门似乎最容易受到这些大规模暴力攻击。70%的教育机构租户都经历过基于IMAP暴力攻击。超过13%的成功攻击都是针对教育机构,攻击者利用容易上当的学生来窃取科学研究成果这类有价值的数据。但更频繁的是,攻击者可以简单的利用这些容易被攻击、被劫持的账户来发起垃圾邮件活动,也就是说对教育机构的攻击所造成的影响其实远远超出了其他教育行业。

网络钓鱼引起横向移动和混合攻击

与利用泄露数据的攻击不同,这些攻击始于电子邮件网络钓鱼活动,然后攻击者使用被盗凭证渗透用户的云应用程序账户。我们的研究人员发现,超过31%的云租户被网络钓鱼活动成功破坏。

这些攻击大多来自尼日利亚的IP地址,占所有成功恶意攻击的63%,其次是南非基础设施(21%),然后是使用VPN的美国地址(11%)。攻击者有时会使用匿名服务(如VPN或Tor节点),来绕过条件访问和基于地理位置的身份验证。这些攻击也可能利用IMAP协议,形成混合攻击。

图片3.png

图3:典型的通过网络钓鱼攻击侵入云账户的过程示意图

攻击者破坏云账户后,他们会用这些“受信任”的账户发送内部网络钓鱼邮件,在组织内部横向移动,感染其他用户。攻击者经常修改电子邮件转发规则或设置电子邮件授权,以维持访问权限,有时还会发起中间人攻击。他们还利用这些失窃账户对其他组织中的用户进行网络钓鱼,从而导致交叉租户污染。

虽然所有行业都是攻击者的目标,但与密码喷射攻击一样,教育部门也最容易受到网络钓鱼相关的攻击。被成功攻击的用户中,有15%是教育机构用户,尤其是是大学和高中学生。

其他目标行业包括零售、金融和科技行业。在某些情况下,攻击者会攻击公司的工资单系统,修改员工薪水发放路径,并访问财务文档。一直以来,销售代表、总经理、特许经销商、项目经理和客户经理等有职位头衔的人员都是目标,并且极易受到网络钓鱼相关攻击活动的影响。

结论

这项研究表明,来自世界各地的攻击行为越来越复杂,黑客利用暴力攻击法、大规模凭据转储和网络钓鱼等方法,给云账户安全造成前所未有的威胁。服务账户和共享邮箱特别容易受到攻击,而多因素身份验证也被证明是不可靠的。攻击者成功实施内部网络钓鱼攻击后,还可以进一步制造组织中的横向感染和对外部组织的感染。各行业的组织机构需要实施分层的智能安全措施,包括对用户进行安全意识培训,来应对这些越来越猖獗的云账户威胁。

本文翻译自:https://www.proofpoint.com/us/threat-insight/post/threat-actors-leverage-credential-dumps-phishing-and-legacy-email-protocols如若转载,请注明原文地址: http://www.hackdig.com/03/hack-54634.htm
知识来源: https://www.4hou.com/web/16870.html

阅读:22842 | 评论:0 | 标签:Web安全 云安全

想收藏或者和大家分享这篇好文章→复制链接地址

“利用凭证转储、网络钓鱼和遗留邮件协议绕过MFA入侵云账户的攻击分析”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词