两款可绕过双身分认证的垂纶进攻器材
|
研究职员宣布了两个器材——Muraen和NecroBrowser。它们可以自动绕过2FA举办垂纶进攻,大大都防止法子都无法抵制它们。
渗出测试职员和进攻者为他们的兵器库添加了一个新的器材,这种器材可以绕过双身分身份验证(2FA) 自动化垂纶进攻,而此进程不易被检测和阻止。该器材使此类进攻更轻易陈设,因此组织机构应该响应地调解其反垂纶培训。 这个新器材包在上个月阿姆斯特丹举行的黑客大会 (Hack in the Box) 上宣布,几天后在GitHub上宣布。它有两个组件:一个被称为Muraena的透明反向署理和一个被称为NecroBrowser 的Docker容器(用于自动化无头Chromium实例)。 中间人式进攻 大大都人所认识的传统收集垂纶进攻是由卖弄登录页面构成的,这些页面在进攻者节制的web处事器上,并由与方针网站名称相似的自界说域名提供处事。然而,这种静态进攻对行使双身分身份验证的在线处事无效,由于没有与正当网站举办交互来触产天生一次性代码。没有这些代码,进攻者就无法行使垂纶凭据登录。 为了绕过2FA,进攻者必要让他们的垂纶网站充当署理,代表受害者转发哀求到正当网站,并及时回传。最终方针不只是为了获取用户名和暗码,而是真正网站用来关联登录账号的勾当会话令牌(也被称为会话cookie)。通过将这些会话cookie放在赏识器中,可以直接会见与它们关联的帐户,而不必要举办身份验证。 这种基于署理的技能并不奇怪,人们一向知道它们的存在,可是举办这样的进攻必要技能常识,而且必要设置多个独立的器材,好比将NGINX web处事器当做反向署理行使。筹备好器材后,进攻者必要在窃取的会话cookie逾期之前手动行使它们。另外,有些网站行使子资源完备性 (Subresource Integrity, SRI) 和内容安详计策 (Content Security Policy, CSP) 等技能来防备署理,有些网站乃至会按照问题来屏障自动化的赏识器。 Muraena和NecroBrowser的呈现是为了破解这些防止法子,并使大部门进程自动化。这意味着此刻许多进攻者可以提倡绕过2FA的垂纶进攻。这些器材是由赏识器开拓框架项目 (Browser Exploitation Framework Project , BeEF) 的前焦点开拓职员Michele Orru和Bettercap项目标成员Giuseppe Trotta配合开拓的。 Muraena和NecroBrowser是怎样事变的? Muraena是用Go编程说话编写的,这意味着它可以在任何Go可用的平台上被编译和运行。一旦陈设完成,进攻者就可以设置他们的垂纶域名,并为其得到正当的证书——譬喻,通过非营利性的Let's Encrypt证书揭晓机构。 该器材包括一个充当反向署理的小型web处事器和一个爬虫措施。该爬虫措施可以自动确定从正当网站署理哪些资源。署理在转达来自受害者的哀求之前重写这些哀求。 爬虫措施会自动天生一个JSON设置文件,然后可以手动修改该文件来绕过更伟大网站上的各类防止机制。该软件包包罗对谷歌、GitHub和Dropbox的示例设置文件。 一旦受害者登岸一个由Muraena提供支持的垂纶网站,登录进程就会和真正的网站完全一样。网站会要求用户输入他们的2FA验证码。当他们提供验证码并完成身份验证之后,署分析窃取会话cookie。 会话令牌凡是由赏识器存储在一个文件中,并在后续哀求中提供处事。这种要领可以使网站自动向赏识器提供一段时刻内不必要暗码登岸而(会话长度)会见帐户的权限。Muraena可以自动将网络到的会话cookie传送给它的第二个组件NecroBrowser,而NecroBrowser可以当即开始滥用这些cookie。 NecroBrowser是一个可以通过API举办节制的微处事,举办设置往后可以通过在Docker容器内运行的Chromium无头实例执行操纵。按照可用的处事器资源,进攻者可以同时天生数十个或数百个这样的容器,每个容器都有一个从受害者哪里窃取的会话cookie。 僵尸赏识器实例执行的操纵可以完全自动化。譬喻,按照账户范例的差异,可以对电子邮件举办截屏、启动暗码重置、将恶意密钥上传到GitHub可能在邮箱添加恶意转发地点。赏识器实例还可以用来网络交际收集上接洽人和伴侣的信息,乃至可以通过相同蠕虫的进攻向这些伴侣发送垂纶信息。 怎样防御自动垂纶进攻 不幸的是,很少有技能办理方案可以或许完全在处事器端阻止这种垂纶进攻。Muraena的呈现声名SRI和CSP等技能的结果有限,进攻者可以以自动化的方法绕过它们。另外,该器材表白2FA不是一个美满的办理方案。 然而基于署理垂纶进攻无法打破某些2FA法子——那些行使支持通用第二身分 (Universal 2nd Factor, U2F) 尺度的USB硬件令牌的企业。这是由于这些USB令牌通过赏识器成立了与正当网站的加密验证毗连,而不是通过进攻者的反向署理。与此同时,基于短信验证码或移动验证软件的办理方案很轻易受到进攻,由于受害者必需手动输入这些验证码,而他们也许会在垂纶网站上做这些工作。 另一种技能办理方案是为赏识器安装扩展,这种扩展措施可以搜查用户是否在正确的网站上输入了他们的凭据。谷歌为Chrome开拓了一个名为Password Alert的扩展,当用户试图在任何不属于谷歌的网站上输入谷歌凭据时,它会发出告诫。 作育用户保持鉴戒,确保他们在正确的域名和正确的网站长举办身份验证很是重要。TLS/SSL和有用证书的存在不敷以证明该网站是正当的,由于人们此刻可以轻松免费得到证书,以是大大都垂纶网站也可以行使HTTPS。 【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安详牛(微信公家号id:gooann-sectv)获取授权】 戳这里,看该作者更多好文
(编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
