網路安全攻擊的案例從沒停息,除了我們過往所熟知的社交工程攻擊手法中的釣魚信件或是透過暴力式破解密碼進入用戶端的系統,2021年初曾發生一起網路安全攻擊事件是由美國國土安全部旗下「網路安全和基礎設施安全局」(Cybersecurity and Infrastructure Security Agency,CISA)所發佈出來,他們初步判斷這起攻擊事件的攻擊者,可能是透過竊取用戶端的身份來連線cookie進行認證且登入到網路應用與服務層,因為連線身份已經通過認證,讓攻擊者可以輕易的進一步繞過部份多因素驗證(Multi-Factor Authentication, MFA)協定的保護機制,駭入用戶端的雲端系統內。這類手法,我們稱為 :「Pass the cookie」。
這意味著什麼?
Pass the cookie的攻擊是在身份認證通過後,攻擊者利用暴力或非暴力方式竊取受害用戶的帳密連線cookie來認證,進而登入到網路應用層或服務層。這攻擊手法過程中,有一個關鍵環節我們需要留意,攻擊者事先通過身分認證進入系統內,才進行網路攻擊並且還跳過某些MFA保護協定。
這意味著什麼呢? 攻擊者的入侵與攻擊有時間先後順序的進行,而非一步到位直接竊取到Client的帳密連線Cookies來認證。
攻擊時間先後順序產生的可能性因素可能是因為企業網路系統上安全管理措施的不嚴謹、網路監控的未實施,或者是使用者的電腦早已經被植入不法的程式而不自覺,例如透過社交工程的釣魚信件連結、下載不明來源的檔案、圖片,或是收到的郵件已經是夾帶病毒,因此這些諸多漏洞疏忽的環節,有可能讓攻擊者有機可乘且早已經進入用戶者的系統內進而複製cookie 繞過認證。
這告訴我們什麼?
這次CISA所發布的網路攻擊事件中,「攻擊者可能是透過竊取用戶端的身份來連線cookie進行認證且登入到網路應用與服務層…」這訊息,告訴了我們什麼?
每當資安事件發生時,經常是事件發生後逐一展開檢視問題的發生,但是當我們看問題的時侯,往往只從單一方向或是從發生結果來確立問題的原因,通常這方式的誤判率偏高,尤其在這繁複的網路世界與駭客多元的手法上。期待受害單位可以冷靜處理或是仔細思考,事件發生問題的來源,通常也不容易,因為敵人看準的就是經常被我們「忽視」或是「自認」安全完備的關鍵處來攻擊我們。舉例,系統的帳密安全機制是否設定、網路設備是否具備可以被認證的規則或是檔案(例如,cookie),已經被盜取或是被植入不法的程式且已經隨時被監控而不知道,或許這些均是受害單位首要基本檢查與確認的第一步,而非一味認為是雲端上的身份認證安全機制是被質疑的。