試想:會有人願意主動登入駭客的電腦、開啟瀏覽器並輸入自己的帳號密碼嗎?當然不會!但這正是瀏覽器中間人攻擊(Browser-in-the-Middle,簡稱 BitM)中所發生的情況。
根據薩倫托大學研究人員發表於《國際資訊安全期刊》的論文,BitM 攻擊與傳統的中間人攻擊(Man-in-the-Middle,MitM)相似,讓駭客能夠控制受害者電腦與目標服務之間的資料流。不過,這兩種攻擊方式有著顯著的差異。
中間人攻擊 vs 瀏覽器中間人攻擊
傳統的中間人攻擊(MiTM)透過代理伺服器,在應用程式層級介入受害者的瀏覽器與合法目標服務之間,但此攻擊必須先在受害者電腦上植入並執行惡意程式。相較之下,
瀏覽器中間人攻擊(BiTM)採用截然不同的手法:受害者誤以為正在使用自己的瀏覽器(例如進行網路銀行交易),實際上卻在操作一個透明的遠端瀏覽器。
資安研究人員形容此手法「
就像受害者在不知情的情況下,直接操作駭客的電腦」。透過這種方式,駭客能完全掌控並竊取受害者與合法網站之間的所有通訊資料。
瀏覽器中間人攻擊手法剖析
瀏覽器中間人攻擊的運作機制分為三個主要階段:
- 釣魚誘導:
攻擊者利用惡意連結誘騙受害者,將其導向攻擊者的伺服器並驗證其網路應用程式。
- 偽造瀏覽器:
受害者連接至攻擊者伺服器後,惡意JavaScript程式碼會建立透明的遠端瀏覽器連線。攻擊者再透過鍵盤側錄等工具攔截受害者的資料。
- 鎖定網路應用程式:
受害者在不知情的情況下,透過這個透明瀏覽器使用網路服務,導致帳號密碼等敏感資料遭竊取。
連線憑證竊取
此攻擊主要是透過竊取使用者的連線憑證(Session Token)進行。即使受害者已完成多重要素驗證(MFA),攻擊者仍可繞過此防護機制,這是因為連線憑證會在驗證後儲存於瀏覽器中。
Google 子公司 Mandiant 的研究人員指出,一旦連線憑證遭竊取,MFA 就會失去防護效用。
竊取連線憑證等同於竊取已驗證的連線狀態,攻擊者無需通過 MFA 驗證就能取得存取權限。因此,連線憑證成為紅隊測試人員(用於測試系統防禦能力)和真實駭客的首要目標。
攻擊者透過 BitM 架構取得已驗證的連線憑證後,無需複雜設定就能在數秒內存取任何網站。當應用程式遭到控制時,合法網站會透過攻擊者的瀏覽器呈現,使受害者難以分辨真偽網站。
在進行加密前,Cookie 或 OAuth 憑證就會遭到攔截,這些被竊取的憑證會立即傳送至攻擊者的伺服器。
防護對策
儘管這類精密的攻擊可能造成重大損失,我們仍有效果顯著的預防和緩解措施可採取。使用者首要之務是謹慎檢視所有連結,並在點擊前仔細預覽網址。以下是其他重要的防護措施:
- 擴充套件管控:透過瀏覽器政策設定企業級白名單/黑名單,僅允許經過核准的操作或實體。雖需投入較多管理時間,但能有效控管安全。
- 權杖(Token)強化:實施短期有效的可輪替權杖,並搭配滑動式到期機制。當權杖遭竊取或外洩時,此機制可提供內建的安全防護。
- 內容安全政策(CSP):善用強大的CSP工具協助開發人員鎖定應用程式,降低遭受內容注入等威脅的風險。
- 行為監控:將瀏覽器層級的遙測資料傳送至資安資訊與事件管理(SIEM)工具,即時監控並對異常的API呼叫或權杖更新模式發出警示。
- 瀏覽器隔離:在沙箱容器或遠端瀏覽服務中執行高風險網站。
- 防護測試:定期執行針對瀏覽器威脅的紅隊演練,以發現並修補潛在弱點。
密碼防護新時代
瀏覽器中間人攻擊能繞過傳統資安防護並攔截使用者帳密,這確實令人憂心。不過,這並不意味著密碼已失去價值。強健的密碼配合多重要素驗證(MFA),依然是抵禦駭客的重要防線,尤其是在他們無法即時竊取連線憑證的情況下。
儘管駭客攻擊手法不斷演進,基本的資安防護措施仍然不可輕忽。作為 MFA 的核心要素,密碼對絕大多數組織來說仍是不可或缺的第一道防線。面對各式各樣的攻擊手法,完善的密碼防護機制始終發揮著關鍵作用。
本文轉載自 TheHackerNews。