近日,APT黑客组织通过“旭日”(SUNBURST)SolarWinds网络管理软件渗透了包括五角大楼和白宫在内的18000家企业和政府机构。这在网络安全行业引起了轩然大波。据网络安全公司Volexity称,实施“每日爆炸攻击”的APT组织设计了一种巧妙的方法来绕过目标网络的多因素身份验证系统。安全公司Volexity的研究人员周一表示,它在2019年底和2020年初遇到了一个类似于“每日爆破”黑客的攻击者。攻击者至少侵入了一个智库组织3次。在一次攻击中,Volexity研究人员注意到黑客使用了一种新技术来绕过Duo提供的多因素身份验证保护(MFA)。在获得受感染网络的管理员权限后,黑客使用这些特权帐户从运行OutlookWebApp(提供帐户身份验证的各种Web服务)的服务器中窃取名为akey的Duo机密信息。然后黑客使用akey预先生成一个cookie来绕过目标账户的MFA验证。Volexity认为攻击者是国家黑客组织DarkHalo。研究人员DamienCash、MatthewMeltzer、SeanKoessel、StevenAdair和ThomasLancaster写道:在调查涉及DarkHalo的第二次攻击时,Volexity观察到攻击者通过OWA获得了对用户电子邮件帐户的访问权限。这是令人惊讶的,因为目标邮箱受MFA保护。来自Exchange服务器的日志显示,攻击者提供的用户名和密码验证工作正常,但绕过了Duo的两步验证。但是,Duo认证服务器的日志并没有记录用户的登录行为。Volexity确认攻击不涉及会话劫持,但通过OWA服务器的内存转储,攻击者使用了与DuoMFA会话(duo-sid)绑定的cookie。在双因素身份验证中,密码验证成功后,服务器评估duo-sidcookie并确定其是否有效。Volexity的调查发现,攻击者从OWA服务器访问了Duo集成密钥(akey)。然后,此密钥允许攻击者在duo-sidcookie中设置预先计算的值。这使得攻击者只需获取用户账号和密码,就可以完全绕过账号的MFA认证机制。此事件凸显了确保与关键集成相关的所有机密(例如与MFA提供商的机密)在泄露后应更改的必要性。另外,重要的是不要将密码更改为与旧密码相似的新密码(例如,将旧密码Summer2020!更改为Spring2020!)。Volexity对DarkHalo攻击的描述表明,与其他安全研究人员得出的结论一致,攻击者展示了极高水平的技能。《华盛顿邮报》和《纽约时报》均援引未具名政府消息人士的话说,“每日爆炸攻击”是由俄罗斯联邦安全局(FSB)下属的APT黑客组织APT29(又名CozyBear)发起的。虽然本案MFA多因素认证技术的提供者是Duo,但完全有可能绕过其他MFA技术。因为MFA威胁建模通常不包括对OWA服务器的系统攻击。黑客获得的访问级别足以关闭几乎所有防御措施。DUO的官方声明如下:思科的DuoSecurity获悉安全研究人员最近的博客文章讨论了过去一年从特定威胁参与者群体观察到的多起安全事件。其中一起事件涉及Duo与OutlookWeb应用程序(OWA)的集成。事件的根源不是Duo产品中的任何错误。相反,攻击者从现有的受感染客户环境(例如电子邮件服务器)中获得了对管理Duo服务所需的集成凭据的特权访问。为降低此类事件发生的可能性,必须防止集成机密在组织内泄露,并在怀疑有攻击时轮换密钥。MFA集成服务的妥协还可能导致集成机密的泄露以及对受MFA保护的系统和数据的未授权访问。Volexity表示,DarkHalo的主要目标是获取智囊团内特定个人的电子邮件。该安全公司表示,DarkHalo是一个复杂的威胁行为者,与任何已知的威胁行为者都没有关系。【本文为专栏作者“安妞”原创文章,转载请通过安妞(微信id:gooann-sectv)获得授权】点此查看作者更多好文
