ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1111

术语表: /attack/glossary

双因素身份验证拦截

建议使用双因素或多因素身份验证,这提供比仅使用用户名和密码更高级别的安全性,但组织应该了解可以用来拦截和绕过这些安全机制的技术。 攻击者可能攻击身份验证机制(如智能卡),以获取对系统,服务和网络资源的访问权限。 如果使用智能卡进行双因素身份验证 (2FA),则在正常使用期间需要使用键盘记录器获取与智能卡关联的密码。 通过插入的卡和对智能卡密码的访问,攻击者可以利用受感染的系统连接到网络资源,并用插入的硬件令牌代理身份验证。

攻击者也可以使用键盘记录程序以类似的方式破解其他硬件令牌,比如 RSA SecurID。 捕获令牌输入(包括用户的个人标识码)可以提供临时访问(即重放一次性密码直到变为下个值),并可能使攻击者可靠地预测未来的身份验证值(给予对算法和用于生成附加临时代码的任何种子值的访问权)。

2FA 的其他方法可能被攻击者拦截并被用于身份验证。 通常通过带外通信(电子邮件、短信)发送一次性代码。 如果设备和/或服务不安全,那么它可能很容易被拦截。 虽然主要集中在网络罪犯,这些认证机制已成为高级攻击者的目标。

缓解

在不使用智能卡时请将其移除。 保护用于传输和接收带外(out-of-band)代码的设备和服务。 在适当的情况下使用白名单工具(如 AppLocker,或软件限制策略),识别并阻止可能用于拦截系统上 2FA 凭据的潜在恶意软件。

检测

检测攻击者使用代理智能卡连接可能比较困难,因为它需要将令牌插入系统中;因此,它更有可能被合法用户使用并与其他网络行为结合。 与输入捕获类似,键盘记录活动可以采用各种形式,但可以通过安装驱动程序、设置 hook 或使用与轮询拦截键盘击键相关的特定 API 调用来检测。