Новый изощренный метод фишинга позволяет злоумышленникам обходить многофакторную аутентификацию (MFA), тайно заставляя жертв входить в свои учетные записи непосредственно на серверах, контролируемых злоумышленниками, с помощью системы совместного использования экрана VNC.
Одним из самых больших препятствий для успешных фишинговых атак является обход многофакторной аутентификации (MFA), настроенной для учетных записей электронной почты целевой жертвы.
Даже если злоумышленники могут убедить пользователей ввести свои учетные данные на фишинговом сайте, если MFA защищает учетную запись, для полной компрометации учетной записи по-прежнему требуется одноразовый пароль, отправленный жертве.
Чтобы получить доступ к учетным записям цели, защищенным MFA, фишинговые наборы были обновлены, чтобы использовать обратные прокси-серверы или другие методы для сбора кодов MFA от ничего не подозревающих жертв.
Однако компании подхватили этот метод и начали внедрять меры безопасности, которые блокируют вход в систему или деактивируют учетные записи при обнаружении обратных прокси-серверов.
VNC в помощь
Проводя тест на проникновение для клиента, исследователь безопасности mr.d0x попытался создать фишинговую атаку на сотрудников клиента, чтобы получить учетные данные корпоративной учетной записи.Поскольку все учетные записи были настроены с помощью MFA, mr.d0x организовал фишинговую атаку, используя структуру атаки Evilginx2 , которая действует как обратный прокси-сервер для кражи учетных данных и кодов MFA.
При проведении теста исследователь обнаружил, что Google блокирует вход в систему при обнаружении обратных прокси-серверов или атак типа «человек посередине» (MiTM).
mr.d0x сообщил BleepingComputer, что это новая функция безопасности, добавленная Google в 2019 году специально для предотвращения подобных атак.
Вход в Google Chrome блокирует атаки MiTM
Источник: mr.d0x
Исследователь также сообщил BleepingComputer, что веб-сайты, такие как LinkedIn, обнаруживают атаки «человек посередине» (MiTM) и деактивируют учетные записи после успешного входа в систему .
Чтобы преодолеть это препятствие, mr.d0x придумал новый хитрый метод фишинга, который использует программное обеспечение удаленного доступа noVNC и браузеры, работающие в режиме киоска, для отображения подсказок для входа в систему по электронной почте, запущенных на сервере злоумышленника, но отображаемых в браузере жертвы.
VNC — это программное обеспечение для удаленного доступа, которое позволяет удаленным пользователям подключаться к рабочему столу вошедшего в систему пользователя и управлять им. Большинство людей подключаются к серверу VNC через выделенные клиенты VNC, которые открывают удаленный рабочий стол аналогично удаленному рабочему столу Windows.
Однако программа под названием noVNC позволяет пользователям подключаться к серверу VNC напрямую из браузера, просто щелкнув ссылку, и именно тогда в игру вступает новый метод фишинга исследователя.
«Итак, как мы можем использовать noVNC для кражи учетных данных и обхода 2FA? Настройте сервер с noVNC, запустите Firefox (или любой другой браузер) в режиме киоска и перейдите на веб-сайт, на котором вы хотите, чтобы пользователь аутентифицировался (например, account.google). .com)», — объясняет новый отчет mr.d0x о его новой технике фишинга.
«Отправьте ссылку целевому пользователю, и когда пользователь щелкнет URL-адрес, он получит доступ к сеансу VNC, не осознавая этого. И поскольку вы уже настроили Firefox в режиме киоска, все, что пользователь увидит, — это веб-страница, как и ожидалось. "
Используя эту конфигурацию, субъект угрозы может рассылать целевые фишинговые электронные письма, содержащие ссылки, которые автоматически запускают браузер цели и выполняют вход на удаленный сервер VNC злоумышленника.
Эти ссылки легко настраиваются и позволяют злоумышленнику создавать ссылки, которые не выглядят как подозрительные URL-адреса для входа в VNC, например приведенные ниже:
Example[.]com/index.html?id=VNCPASSWORD
Example[.]com/auth/login?name=password
Поскольку сервер VNC злоумышленника настроен на запуск браузера в режиме киоска, который запускает браузер в полноэкранном режиме, когда жертва нажимает на ссылку, она просто увидит экран входа в целевую службу электронной почты и войдет в систему как обычно.
Демонстрация техники фишинга VNC
Источник: mr.d0x
Однако, поскольку приглашение для входа в систему фактически отображается на VNC-сервере злоумышленника, все попытки входа в систему будут происходить непосредственно на удаленном сервере. mr.d0x сообщил BleepingComputer, что как только пользователь входит в учетную запись, злоумышленник может использовать различные инструменты для кражи учетных данных и токенов безопасности.
Еще более опасным является то, что этот метод позволяет обойти MFA, поскольку пользователь вводит одноразовый код доступа непосредственно на сервере злоумышленника, разрешая устройству будущие попытки входа в систему.
Если бы атака использовалась на ограниченной основе, нацеленной только на несколько человек, простой вход в их учетную запись электронной почты через сеанс VNC злоумышленника позволил бы устройству подключиться к учетной записи в будущем.«Поскольку это мой сервер, у меня может быть много трюков в рукаве, например, сказать, что у меня есть пакет burp или любой другой HTTP-прокси, подключенный к этому браузеру, и он перехватывает все происходящие HTTP-запросы. Когда пользователь закончит, я могу проверить запросы и возьмите имя пользователя, пароль и токен сеанса», — сказал mr.d0x BleepingComputer в разговоре об атаке.
Другой альтернативой может быть внедрение JS в браузер перед отправкой фишинговой ссылки. Когда пользователь начинает использовать браузер, он запускает мой JS. Есть много других вариантов, потому что в конце дня пользователь аутентифицируется на вашем сервере».
мистер d0x
Поскольку VNC позволяет нескольким людям отслеживать один и тот же сеанс, злоумышленник может отключить сеанс жертвы после входа в учетную запись и подключиться к тому же сеансу позже, чтобы получить доступ к учетной записи и всей ее электронной почте.
Хотя эта атака не использовалась в реальных атаках, исследователь сказал BleepingComputer, что, по его мнению, злоумышленники будут использовать ее в будущем.
Что касается того, как защитить себя от этих типов атак, все советы по фишингу остаются прежними: не нажимайте на URL-адреса от неизвестных отправителей, проверяйте встроенные ссылки на наличие необычных доменов и рассматривайте все электронные письма как подозрительные, особенно когда они предлагают вам войти в систему. на ваш счет.