引言
資安領域的攻防戰日新月異,駭客不斷尋找新的漏洞和技術來繞過傳統的安全防護。近期,資安研究人員發現了一種利用微軟自身基礎設施的全新網路釣魚手法,這種技術能夠巧妙地利用 Active Directory Federation Services (ADFS) 的合法重定向功能,來竊取用戶的 Microsoft 365 登入憑證,甚至繞過多重身分驗證 (MFA)。這種攻擊的狡猾之處在於,它並不像傳統的網路釣魚那樣依賴偽造的網址,而是將受害者從一個看似完全合法的微軟官方網址導向惡意頁面,使得使用者難以辨別真偽。
攻擊技術詳解
根據 Push Security 公司的資安研究報告,駭客利用 Google 搜尋結果中的惡意贊助連結作為攻擊的起點。當使用者在 Google 上搜尋某些關鍵字並點擊了這些惡意連結後,他們會被導向一個看似正常的 outlook.office.com 網址。這一步驟是整個攻擊的關鍵,因為它讓使用者從一開始就信任了這個連結。然而,這個合法網址隨後會將使用者重定向到駭客控制的中間域名,例如 bluegraintours[.]com。
在這個重定向的過程中,駭客的伺服器扮演了身份和存取管理 (IAM) 提供者的角色,它會指示使用者的瀏覽器在最終登陸一個網路釣魚頁面之前,先通過一個 ADFS 認證流程。這種手法非常高明,因為它利用了微軟生態系統中本來用於單一登入 (SSO) 的合法機制。
駭客精心設計的網路釣魚頁面看起來與微軟的登入頁面如出一轍,難以辨識。為了進一步躲避偵測,駭客還為這些頁面設定了「條件式載入限制」,確保只有符合特定條件的有效目標才能看到釣魚頁面,而自動化掃描器或非目標用戶則會被導向其他無害的頁面。這使得資安公司難以進行大規模的自動化分析和偵測。
攻擊的隱蔽性與危害
這種利用 ADFS 重定向的攻擊手法之所以危險,主要有以下幾個原因:
網址合法性:攻擊從一個合法的微軟網址開始,這使得傳統基於 URL 的偵測工具和用戶的警覺性失效。使用者看到的是 office.com,自然會認為是安全的。
繞過 MFA:這種攻擊可以設計來竊取多重身份驗證的權杖,從而繞過這層關鍵的防護。駭客可以捕獲會話憑證,即使沒有密碼,也能在一段時間內保持對帳戶的存取權限。
目標導向:雖然目前這種攻擊似乎是駭客的一次實驗性嘗試,但其精準的目標導向能力顯示了未來大規模、針對性攻擊的潛力。駭客可以根據地理位置、IP 位址或其他特定資訊來篩選目標,從而發動更具威脅性的攻擊。
防禦與應對措施
針對這種新型威脅,Push Security 建議了幾種防禦措施:
監控 ADFS 重定向:企業應加強對 ADFS 重定向的監控,特別是關注那些將用戶導向不尋常或可疑域名的重定向。
檢查 Google 搜尋的廣告參數:使用者和企業應警惕在 Google 搜尋結果中,來自 Google 廣告的微軟網站連結是否包含額外的重定向參數,這可能是惡意活動的跡象。
加強用戶培訓:對員工進行資安培訓,教育他們識別這種新型態的網路釣魚手法,即使網址看起來是合法的,也要對登入頁面的細節保持警惕。
結論
這次的攻擊事件再次證明,即使是看似安全的合法網路基礎設施,也可能被惡意利用。隨著網路攻擊手段的日益複雜,單一的防禦措施已不足以應對。企業必須採取多層次的防護策略,包括技術監控、員工資安教育以及及時的威脅情報更新,才能有效保護帳戶和數據安全,防禦這種利用信任鏈進行攻擊的新型威脅。
資料來源:https://www.bleepingcomputer.com/news/security/hackers-steal-microsoft-logins-using-legitimate-adfs-redirects/