应对会话劫持和旁路MFA 新威胁-51CTO.COM
source link: https://netsecurity.51cto.com/article/710013.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
应对会话劫持和旁路MFA 新威胁-51CTO.COM
当谈到企业网络威胁时,凭证被理所当然地视为该领域的钥匙。当有效凭据打开前门时,为什么要对脆弱的系统或人使用恶意代码?
当前的最佳实践通常认为多因素身份验证 (MFA) 和密码管理器足以降低帐户劫持的风险。但不幸的是,地下网络犯罪组织很快就适应了。通过infostealer恶意软件和 cookie 盗窃进行会话劫持是一种越来越流行的旁路 MFA 方法。在过去的 12 个月里,Recorded Future 在地下站点上看到了数千次此类技术的引用。
好消息是,组织可以通过遵循最佳实践、重新配置入侵检测工具和增强威胁情报来进行反击。
为什么 Cookie 如此受欢迎
我们在2021年发现了14905个涉及网络犯罪的地下站点,包括关键词“cookie”、“会话cookie”和“会话劫持”。为什么如此受欢迎呢?因为HTTP cookie用于管理用户会话,存储用户个性化偏好并跟踪用户行为。如果攻击者能够窃取用于向内部或第三方应用程序验证用户身份的“魔法cookie”,他们就可以完全匿名地劫持用户会话,看起来与合法用户完全相同。
Infostealer 恶意软件的设计正是为了做到这一点。一旦他们掌握了被盗的 cookie,一种相对简单的“传递 cookie” 后利用技术使攻击为者能够劫持用户的会话。这样做的好处不是窃取密码,而是允许他们绕过 MFA 检查点。会话通常在 7 天或更长时间后超时,从而为访问敏感的 Web 应用程序和服务、窃取数据、部署勒索软件等提供了足够多的机会。
让事情变得更容易
具有商业头脑的网络犯罪分子知道如何发现商机。这就是为什么 cookie 通常包含在易于使用的软件包中,例如在英语和俄语网络犯罪商店 Genesis Store 上宣传的“机器人”或“日志”。除了会话 cookie,这些包还包括帐户凭据、IP 地址和浏览器指纹。可以将这些数据导入一个名为 Genesis Security 的浏览器插件中,使攻击者能够在帐户接管和会话劫持攻击中伪装成受害者。
如果网络访问需要 MFA,初始访问代理还会在出售被盗凭据的同时出售cookie。利用infostealer恶意软件和会话劫持来破坏身份是臭名昭著的 Lapsus 组织的一项关键策略,该组织声称从包括三星(Samsung)、微软(Microsoft)和英伟达(Nvidia)在内的众多大型科技公司窃取数据。我们还看到了恶意软件即服务的变体,包括 RedLine 和 Vidar,它们能够窃取具有相关会话令牌的凭证对。
这并不是说这项技术特别新。美国网络安全和基础设施安全局 (CISA) 在 2021 年 1 月就 cookie 被盗发出警告。但随着 MFA 变得越来越流行,规避它的尝试也将变得越来越普遍。
这就是为什么组织必须更新自己的策略和安全策略,以减轻不断演变的帐户和会话劫持威胁。
MFA 和密码管理器必须仍然是事实。但安全团队也可以探索更频繁地执行 MFA 的解决方案的可能性。这种情况多久发生一次取决于你:每天登录够不够,每次登录是否太多?你想给你的用户创造多少摩擦?哪些应用程序需要施加如此多的压力?这些问题由你来考虑。考虑监控你的组织被泄露的身份——这将减少攻击者窃取与身份相关的信息并将其转售以供其他攻击者使用的窗口。你可以更进一步,在 Recorded Future,我们将这种身份情报直接连接到我们的 IAM 提供商,通过自动重置密码和审核来加速这种威胁的分类。有了这些信息的API,自动化剧本在你的SOC中变得可行和可扩展。
不幸的是,安全不是一个目的地,而是一个持续的旅程。为了避免在这条道路上出现更多的坎坷,明智的做法是应对来自信息窃取者和会话劫持的威胁。
Recommend
-
7
劫持SSH会话注入端口转发 mickey ·
-
20
哪类诈骗是2019年的网络诈骗之王?为什么说骗子越来越懂你了?网络诈骗有哪些新趋势新威胁? 1月7日,360企业安全集团、360猎网平台发布《2019年网络诈骗趋势研究报告》(以下简称报告)。据悉,在报告中,360安全大脑基于360猎...
-
131
版权 版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 背景 2021年1月25日,360网络安全研究院...
-
5
版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 从2021年2月28日起,360网络安全研究院的BotMon系统检测到IP(107.189.30.190
-
6
在Docker 中运行 OpenWrt 旁路网关 发表于 2019-10-07 分类于 OpenWrt 本文字数: 5.1k 阅读时长 ≈ 5 分钟 ...
-
3
1. 背景简介随着5G时代来临,互联网信息爆炸式增长,移动应用逐渐变得体积庞大且功能复杂。一方面普通消费者会越来越少地去下载客户端,绝大多数需求需要以更轻量化的方式得到满足,另一方面,每一个超级APP或手机厂商都想生态化的汇聚更多内容。由此...
-
13
“双网线”旁路由之“完美”解决IPv6和千兆瓶颈问题 – WuSiYu Blog 跳至内容 旁路由是一种homelab常见的需求,主路由用硬路由确保稳定,比如用...
-
10
安全攻防-01 XSS实现会话身份劫持 漏洞原理利用防御 前言:HackerOne平台上发布的漏洞报告上,23%占比的都是XSS漏洞 C...
-
2
V2EX › 宽带症候群 旁路软路由 ipv6 裸奔是什么原因导致的
-
3
安卓shell 电脑使用adb 下载地址: Windows版本:
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK