一种狡猾的新型网络钓鱼技术允许攻击者通过使用 VNC 屏幕共享系统让受害者直接在攻击者控制的服务器上秘密登录其帐户,从而绕过多因素身份验证 (MFA)。
成功进行网络钓鱼攻击的最大障碍之一是绕过在目标受害者的电子邮件帐户上配置的多因素身份验证 (MFA)。
即使威胁行为者可以说服用户在网络钓鱼站点上输入他们的凭据,但如果在有 MFA 保护帐户的情况下,想要完全破坏帐户仍然需要向用户发送一次性密码。
为了访问受 MFA 保护的目标帐户,网络钓鱼工具包已更新为使用反向代理或其他方法从不知情的受害者那里收集 MFA 代码。
但是,一些公司已经掌握了这种方法,并开始引入安全措施,当检测到反向代理时,可以阻止登录或停用帐户。
VNC 救援
在为客户进行渗透测试时,安全研究员 mr.d0x 试图对客户的员工发起网络钓鱼攻击,以获取公司帐户凭据。
因为这些帐户都配置了 MFA,所以mr.d0x 使用 Evilginx2 攻击框架设置了网络钓鱼攻击,该框架充当反向代理来窃取凭据和 MFA 代码。
在进行测试时,研究人员发现谷歌在检测到反向代理或中间人 (MiTM) 攻击时会阻止账户登录。
mr.d0x 告诉 BleepingComputer,这是谷歌 在 2019 年添加的一项新的安全功能,专门用于防止此类攻击。
image.png
谷歌浏览器登录阻止 MiTM 攻击
来源:mr.d0x
研究人员还告诉 BleepingComputer,像LinkedIn 这类网站会在成功登录后检测到中间人 (MiTM) 攻击,并停用帐户。
为了克服这个障碍,mr.d0x 提出了一种狡猾的新网络钓鱼技术,它使用 noVNC 远程访问软件和以 kiosk 模式运行的浏览器来显示在攻击者服务器上运行但在受害者浏览器中显示的电子邮件登录提示。
VNC 是一个远程访问软件,允许远程用户连接并控制已登录用户的桌面。大多数人通过专用 VNC 客户端连接到 VNC 服务器,这些客户端以类似于 Windows 远程桌面的方式打开远程桌面。
然而,一个名为 noVNC 的程序允许用户只通过点击一个链接直接从浏览器内连接到 VNC 服务器,这正是研究人员的新网络钓鱼技术发挥作用的时候了。
“那么我们如何使用 noVNC 窃取凭据并绕过 2FA呢?使用 noVNC 设置服务器,在 kiosk 模式下运行 Firefox(或任何其他浏览器)并前往您希望用户进行身份验证的网站(例如 accounts.google .com),” mr.d0x 在一份关于新钓鱼技术的新报告中解释道。
“将链接发送给目标用户,当用户单击 URL 时,他们将在没毫无察觉到的情况下访问 VNC 会话。并且由于您已经将 Firefox 设置为 kiosk 模式,因此正如预期的那样,所有用户将看到的只是一个网页。"
通过使用此配置,攻击者可以发送有针对性的鱼叉式网络钓鱼电子邮件,其中包含自动启动目标浏览器并登录到攻击者远程 VNC 服务器的链接。
这些链接是高级可定制的,允许攻击者创建看起来不像可疑 VNC 登录 URL 的链接,如下所示:
Example[.]com/index.html?id=VNCPASSWORD
Example[.]com/auth/login?name=password
由于攻击者的 VNC 服务器配置为以 kiosk 模式运行浏览器,即以全屏模式运行浏览器,因此当受害者单击链接时,他们只会看到目标电子邮件服务的登录屏幕,然后正常登录。
然而,由于登录提示实际上是在攻击者的 VNC 服务器显示的,所有登录尝试都将直接发生在远程服务器上。mr.d0x 告诉 BleepingComputer,一旦用户登录该帐户,攻击者就可以使用各种工具窃取凭据和安全令牌。
更危险的是,这种技术将绕过 MFA,因为用户将直接在攻击者的服务器上输入一次性密码,授权该设备将来的登录尝试。
“因为它是我的服务器,所以我可以有很多技巧,例如说我有 burp suite 或任何其他 HTTP 代理连接到这个浏览器并捕获所有发生的 HTTP 请求。当用户完成请求后,我可以检查请求并获取用户名和密码以及会话令牌,”mr.d0x 在关于攻击的对话中告诉 BleepingComputer。
另一种选择是在发送网络钓鱼链接之前将 JS 注入浏览器。当用户开始使用浏览器时,就会运行我的 JS。当然,还有很多选择,因为用户最终都会在您的服务器上进行身份验证。”
如果攻击仅限于针对少数人使用,只需通过攻击者的 VNC 会话登录他们的电子邮件帐户,就可以授权设备在未来连接到该帐户。
由于 VNC 允许多人监控同一个会话,因此攻击者可以在帐户登录后断开受害者的会话,并在稍后连接到同一会话以访问该帐户及其所有电子邮件。
虽然这种攻击尚未被使用于现实世界,但研究人员告诉 BleepingComputer,他相信未来攻击者会使用它。
至于如何保护自己免受这些类型的攻击,所有网络钓鱼的建议都是一样的:不要点击来自未知发件人的 URL,检查嵌入的链接中是否有不寻常的域,并将所有电子邮件视为可疑邮件,尤其是当它提示您登录帐户时。