蛮力攻击分析概述
在最近对主要云服务租户进行的一项为期6个月的研究中,Proofpoint的研究人员发现,大规模的云攻击利用遗留协议和凭证转储来提高暴力破解账户的速度和效率。使用IMAP对Office 365和G Suite云账户的攻击可能很难通过多因素身份验证来防范,在多因素身份验证中,服务账户和共享邮箱明显容易受到攻击。与此同时,有针对性的智能蛮力攻击为传统的密码喷洒带来了一种新方法,利用在大型凭证转储中暴露的用户名和密码的常见变体来危害帐户。此外,复杂的网络钓鱼广告系列欺骗了收件人透露验证凭据,为额外的途径提供攻击者进入公司账户。
校样点在数百万监测的云用户帐户中分析了十万未经授权的登录,并发现:
72%的租户至少被威胁者盯上过一次
40%的租户在他们的环境中至少有一个被泄露的账户
超过2%的活跃用户账户被恶意行为者盯上
每10,000个活跃的用户账户中有15个被攻击者成功突破
攻击者的主要目标通常是发射内部网络钓鱼,特别是如果初始目标没有搬运金钱或数据所需的访问权限。登录后访问用户的云电子邮件和联系信息可以通过内部网络钓鱼和内部提高攻击者在组织内扩展立足点的能力BEC,它比外部网络钓鱼尝试更难检测到。攻击者还利用这些可信用户帐户或品牌来推出外部攻击或利用基础设施,作为更广泛的攻击活动的一部分。
蛮力云攻击起源
大多数攻击者的登录来自尼日利亚的IP地址。这占所有成功恶意攻击的40%,其次是来自中国IP地址的登录,占成功账户攻击的26%。其他成功攻击的主要来源包括美国、巴西和南非(图1)。
图1:成功恶意登录源的相对卷
2018年11月至2019年1月期间,成功的蛮力和网络钓鱼相关袭击涉及尼日利亚IP地址的攻击增加了65%。虽然这些攻击并不一切都涉及尼日利亚演员,最近被捕及活动与该地区普遍存在的网络犯罪相一致。
对云应用的暴力攻击具有针对性和智能化
在我们的研究中,IMAP是最常被滥用的遗留协议。IMAP是一个遗留的身份验证协议,在特定情况下可以用来绕过多因素身份验证(MFA):
- 与第三方电子邮件客户一起使用时不支持现代身份验证
- 针对没有完全实现应用程序密码的目标(不支持的客户端MFA的替代方案)
- 针对无法启用MFA的共享电子邮件帐户时,并且不会阻止IMAP。
根据设计,这些暴力云攻击避免了帐户锁定,看起来像孤立的失败登录,因此它们不会被注意到。
大约60%的Microsoft Office 365和G Suite租户受到了基于imap的密码喷射攻击
大约25%的办公室365和G套房租户因结果而成功突破
威胁行为者攻破目标组织账户的成功率为44%
基于imap的密码喷洒活动尤其有效,在2018年9月至2019年2月期间出现了大量活动。这些攻击特别针对高价值用户,如高管和他们的行政助理。
平均而言,攻击者将有针对性的租户中的10%的活跃用户账户
攻击者成功突破了1%的目标用户账户
攻击者利用世界各地数千台被劫持的网络设备——主要是易受攻击的路由器和服务器——作为操作性攻击平台。在50天的时间段内,这些被劫持的设备平均每2.5天获得一个新租户的访问权限。
大多数基于imap的攻击源自中国,占所有成功恶意攻击的53%,其次是来自巴西IP地址的攻击(39%)和来自美国基础设施的攻击(31%)。请注意,在研究期间,攻击往往来自多个地区,而且往往如此,重要的是不要假定攻击的来源与实施攻击的威胁行动者的国籍之间有一贯的直接联系。
IMAP密码喷雾攻击奖励奖励后凭证转储后的疗效
图2:与基于imap的密码喷射攻击相关的成功账户入侵
世界各种行业和世界各国的组织受到影响,但K-12和高等教育部门既似乎是最容易受这些大批量蛮力攻击的影响。70%的教育机构的租户经历了来自基于IMAP的蛮力攻击的违规行为。超过13%的成功攻击是针对教育机构的攻击,攻击者利用易感学生并寻求获得有价值的数据,如科学研究。然而,更常见的是攻击者只是使用这些轻松损害,劫持账户来推出垃圾邮件活动,这意味着攻击对这一行业的影响远远超出教育机构。
网络钓鱼会引起横向移动和混合云攻击
与攻击杠杆相反违反数据,这些攻击开始于电子邮件钓鱼运动。然后,威胁行动者使用窃取的凭证渗透用户的云应用程序帐户。我们的研究人员发现,超过31%的云租户受到来自成功的网络钓鱼活动的入侵。
这些攻击中的大多数源于尼日利亚知识产权地址,占所有成功的恶意努力的63%,其次是南非基础设施(21%),美国通过VPN(11%)。攻击者有时使用匿名化服务,例如VPN或TOR节点来绕过条件访问和基于地理位置的身份验证。这些攻击还可以利用IMAP协议,形成混合攻击。
图3:示意图显示了典型的钓鱼攻击导致的被破坏和利用的云帐户
在威胁行动者破坏云帐户后,他们从这些“可信”帐户发送内部钓鱼,在组织内部横向移动,并影响其他用户。攻击者经常修改邮件转发规则或设置邮件委托以保持访问权限,有时还会发动中间人攻击。他们还利用被入侵的账户在其他组织中钓鱼用户,造成跨租户污染。
虽然所有部门的组织被攻击者为目标,但由于密码喷洒攻击,教育部门也是最容易受到网络钓鱼相关的攻击。15%的成功袭击影响教育机构的用户,尤其是大学和高中生。
其他目标行业包括零售、金融和科技。在某些情况下,攻击者的目标是公司薪资系统重新安排员工工资和访问财务文件。销售代表、总经理、商业特许经销商、项目经理和客户主管等头衔持有者始终是攻击目标,而且极易受到网络钓鱼相关的攻击。
结论
这种蛮力攻击分析表明,威胁演员周围的威胁演员的复杂性越来越复杂,他们正在利用蛮力方法,大规模凭证转储和成功的网络钓鱼攻击来损害云账户以前所未有的规模损害。服务帐户和共享邮箱特别易受攻击,而多因素身份验证已被证明很脆弱。攻击者帕拉耶成功地妥协了解内部网络钓鱼攻击,组织中的横向运动,以及可信外部组织的额外妥协。组织需要实施分层,智能安全措施 - 包括用户教育 - 打击这些不断变化的威胁,这些威胁在损害用户云帐户时越来越成功。
Update, March 21, 2019: This post has been updated to reflect specific cases in which IMAP-based password-spraying attacks were successful, particularly as threat actors targeted shared service accounts, (e.g., hr@company[.]com or helpdesk@company[.]com) or exploited weaknesses in MFA implementations and third-party email client logins.
订阅校正博客