利用非传统路径，攻击者会如何入侵一家企业

0X00 前言

攻击者越来越多地利用针对云应用程序和身份的攻击技术。本文是笔者总结的关于攻击者如何在不需要接触终端或传统网络系统和服务的情况下针对企业进行攻击的事件介绍。本文会详细讨论正在使用的攻击技术，帮助企业SOC安全建设提供技术方面的支持。

0X01 云和SaaS应用程序的普及

SaaS革命和产品引导的增长对公司网络结构以及核心业务系统和数据所在位置产生了巨大影响。如今，许多组织在业务职能中使用了数十到数百个SaaS应用程序。一些完全是SaaS原生的，没有传统网络可言；但大多数采用了混合模型，其中混合了本地、云和SaaS服务，构成了正在使用的业务应用程序的支柱。

大部分SaaS是由用户控制的，而不是由IT集中管理的，自下而上的发展是产品导向增长的固有特点。最新的来自Push Security的数据表明，只有五分之一的SaaS应用程序已获业务批准。大多数的SaaS应用程序是未知的，根本没有经过审查。云和SaaS应用程序旨在互连互通，功能类似于过去使用的内部业务应用程序的封闭网络。这种互联的媒介的核心是身份，最基本的身份形式是注册服务时创建的具有用户名/电子邮件和密码的用户账户。为了降低账户接管风险和管理日益增加的账户数量的复杂性，企业正在使用身份提供商 (IdPs) 的服务，使用诸如单点登录(SSO) 和OAuth等协议来分别管理认证和授权，将对应用程序内的访问集中到单个平台和身份上。

一个身份的构成可以有很大的不同。根据应用程序，同一个账户可能有多种认证机制（例如：通过SAML、社交登录 (OIDC) 和用户名与密码）。虽然SAML要求管理员事先为SaaS程序设置相应的账户，但用户可以简单地通过使用第三方登录功能注册该应用程序。实际上，这创建了绑定到单个账户的多个身份，这可能引入许多混淆和复杂性（例如：仅通过 IdP 管理员删除该账户，并不意味着应用程序/账户无法通过已创建的其他登录方法之一访问）。这可能使了解哪些应用程序正在使用以及组织中存在哪些身份变得困难。因此，在实践中，可能会出现以下组合：

1. 身份提供商（平均每个组织大约 3个）(例如，Okta、Entra/Microsoft,、Google)

2. 充当连接应用程序 SSO 平台的应用程序（例如，Atlassian Access、Adobe Creative Cloud）

3. 使用不同身份验证（SAML, OIDC）和授权（OAuth）协议的 SaaS 应用程序

4. 具有本地用户名和密码的 SaaS 应用程序

5. 存储在密码管理器和验证器应用程序中的凭证和秘密（这些可以在浏览器、本地操作系统和第三方应用程序中）

这可能会变得相当复杂——大多数组织的库存中有 100 多个应用程序，导致成千上万的身份扩展。然 后，根据为给定应用程序批准的 OAuth 范围，一个应用程序中的权限和工作流程可能会影响其他应用程序，因为它们获得批准彼此通信。

身份是将这个生态系统整合在一起的粘合剂。然而，保护身份的控制存在严重限制。公司通常认为所有应用程序和身份都已部署 MFA，或所有应用程序都位于 SSO 后面。但事实是，只有 1/3 的应用程序实际上支持 SSO（许多仅在高级层支持，并伴有高昂的价格上涨）。此外，大约 60% 的唯一身份（即不使用 SSO）未注册 MFA。因此，保护云身份的安全控制存在显著差距，而身份和云应用程序变得越来越普遍。

0X02 攻击者针对云身份漏洞的入侵

攻击者正在密切关注云身份漏洞这一潜在的入侵点。根据Verizon 2024年的DBIR报告，74%的所有违规事件都涉及人为因素，通过人为错误、权限滥用、使用被泄露的凭证或社会工程学来针对受到威胁的用户账户。虽然这并不是什么新鲜事（自2013年以来，身份/钓鱼攻击的某些描述一直是主要的攻击手段），但Crowdstrike的最新全球威胁报告进一步指出，75%的获取访问权限的攻击是无恶意软件的，并且“云意识”攻击（针对云服务的有意而非机会性目标攻击以破坏特定功能）增加了110%。微软还指出，每秒大约有4000次针对云身份的密码攻击，而来自谷歌员工的建议称，寻求窃取会话cookie（从而绕过多因素认证）的攻击大约与基于密码的攻击同样频繁。

除了数字之外，来自公众视角的违规证据讲述了同样的故事。像APT29/Cozy Bear/The Dukes和Scattered Spider/0ktapus这样的威胁组织展示了，攻击者如何积极地针对IdP服务、SaaS应用程序和 SSO/OAuth来对Microsoft和Okta等公司进行高调攻击。

云应用和身份成为攻击者的新机遇之地。由于转向云服务，它们提供的价值与通过端点侵入网络边界的传统攻击相同。在许多方面，身份本身就是新的攻击面。与网络或端点等其他安全边界相反，就目前存在的控制措施而言，它在防御这一新边界方面的障碍也小得多。基于身份的攻击过去通常局限于端点或相邻的“身份系统”如活动目录。攻击者的目标是突破这一边界并在组织内部移动。现在，身份更加分散，这成为一个由互联网访问的互联云应用和服务生态系统的入口。这显著改变了安全团队面临的挑战程度。毕竟，阻止针对100个SaaS应用的凭证填充攻击要比阻止过去单一集中的外部VPN/网络邮件端点困难得多。

0X03 云身份是成为新的安全边界

企业运营人员非常清楚，云身份就是新的数字边界。这不是未来的预判，而是现在面临的威胁。唯一尚未确定的是，将会出现什么进攻技术和手艺，以及行业为了阻止它们会做出什么响应。

安全路线	攻击技术	安全预案
2000-2010年是传统的周边黑客攻击	端口扫描器、漏洞扫描器、缓冲区溢出攻击、Web应用程序攻击、WiFi攻击、客户端/服务器后门	防火墙、DMZ、安全编码、WPA、渗透测试
2010年后是端点成为新的边界	水坑攻击、Office宏钓鱼、浏览器漏洞、内存驻留植入、C2 框架	端点强化、EDR、 SIEMS、红队、威胁追踪
2020年后是云身份是新的边界	???	???

2023年Push Security在 GitHub上发布了一系列SaaS攻击技术（受到更注重端点的 MITRE ATT&CK 框架的启发），展示了攻击者如何在不接触网络或端点等传统表面的情况下瞄准企业。这些技术综合运用，就可使得攻击者能够在云环境中完成端到端的攻击。Push还发布了许多博客文章，介绍如何使用这些技术最流行的技术总结如下：

技术	概述
AiTM 网络钓鱼	AiTM网络钓鱼使用专用工具作为受害者与受害者有权访问的应用程序的合法登录门户之间的Web代理，主要是为了更容易地破坏MFA保护。通过实时代理到目标登录门户，攻击者可以访问有效密码和有效会话cookie，他们可以窃取并用于劫持会话。登录后，受害者用户将看到他们通常希望看到的所有真实数据（例如他们自己的电子邮件/文件 等），因为它是真实应用程序的代理。这减少了他们意识到由于代理应用程序的真实工作性质而受到损害的机会。
企业通讯软件网络钓鱼	Teams和Slack等IM应用程序是攻击者规避针对恶意链接和附件更严格的基于电子邮件的网络钓鱼防护的好方法。 IM 的即时性和实时性使其成为网络钓鱼攻击的有用载体，因为用户不太熟悉这些应用程序作为网络钓鱼攻击的传递载体。使用 IM，可以欺骗/冒充用户、使用机器人帐户创建可信的对话、滥用链接预览功能以及追溯编辑消息和帐户以清除攻击者的踪迹。
SAML 劫持	SAML劫持是攻击者利用他们控制的SaaS租户的SAML SSO配置设置，以便在身份验证过程中将用户重定向到他们选择的恶意链接。这对于网络钓鱼非常有效，因为原始URL将是合法的SaaS URL，并且用户希望提供凭据。如果SaaS应用程序的管理员帐户受到威 胁，它还可以用于横向移动，方法是修改或启用SAML，将URL指向看起来像或代理合法身份验证服务（例如 Google 或 Microsoft）的凭证网络钓鱼页面。然后，攻击者可以通过向租户发送看似合法的应用程序登录页面链接来瞄准用户，然后以水坑攻击的方式发挥作用。
Okta 劫持	攻击者可以设置自己的Okta租户，用于高度可信的网络钓鱼攻击。这种攻击之所以有效，是因为Okta将与AD关联的帐户的登录凭据转发到在目标网络上运行的其自己的AD代理。然后，Okta允许代理向他们报告登录是否成功。这使得破坏AD代理或能够模拟 AD代理的攻击者能够监视Okta用户的登录凭据，并提供类似万能密钥的功能，以他们喜欢的任何用户身份向Okta进行身份验证。它还可以与SAML劫持类似地用于横向移动 - 只不过不需要重定向到单独的恶意域。
影子工作流	影子工作流是一种使用SaaS自动化应用程序提供类似代码执行的方法的技术，用于使用 OAuth集成从合法来源执行恶意操作。这可以是每天从共享云驱动器导出文件、自动转发和删除电子邮件、克隆即时消息、导出用户目录——基本上是使用目标应用程序API可以实现的任何操作。

0X04 网络攻击技术的威胁

Luke Jennings用一段视频（视频链接）生动展示了一系列网络攻击技术的实际操作，包括：

1. 初始访问权限的获取：Luke利用了一个名为EvilNoVNC的攻击工具，这是一种运行于浏览器中的浏览器（BitB）钓鱼框架，通过这种方式实现了对用户Okta会话的劫持；

   

2. 窃取浏览器会话中的凭据：Luke成功地从浏览器会话中窃取了用户凭据，并通过Okta SSO访问了更多的应用程序。然后配置了这些应用程序以创建持久的访问权限和后门；

   

3. 进一步盗取凭证：Luke通过滥用SAML和SWA登录，对公司租户内那些应用的其他用户进行进一步的凭证盗窃，并成功地访问了被侵入应用的敏感数据。

   

0X05 如何检测到这种攻击并做出响应？

这些类型的攻击现在对许多组织构成了真正的挑战，因为它们穿过了现有的安全工具和服务的缝隙。如何检测并应对这种攻击吗？

你能检测到最初的AiTM钓鱼攻击吗？

有多少用户会在SAMLjacking攻击中被威胁？

你能找到多个SaaS应用中的所有不同后门吗？或仅仅是重置Okta账户的密码和MFA令牌呢？那么所有非SAML应用的密码呢？

大多数组织在应对基于身份的攻击时都存在安全间隙。这在很大程度上是因为，围绕身份安全的控制通常集中在保护中心身份系统（比如活动目录/ Entra ID）上，而不是与云应用和服务相关的更大的身份基础设施。同样，组织投资的控制也在很大程度上被这些攻击绕过。用于保护底层操作系统的EDR工具在这里几乎没有影响，因为这些应用是在浏览器中访问的——越来越被吹捧为新的操作系统。正如本文所述，保护身份对于保护云服务绝对至关重要。并且进攻链的相当大一部分——例如，通常的钓鱼尝试，包括旨在绕过MFA的AiTM和BitB技术，或者跨应用和服务的密码共享，都无法被端点安全工具，IdP日志，或者来自个别应用和服务的SaaS日志覆盖。

0X06 游民点评

身为一名安全从业人员，身份安全无疑是信息安全领域中的一个重要组成部分，尤其在当前的数字化世界中，管理和保护数字身份变得越来越重要。从攻击面管理角度的观察和分析身份安全，将会为企业提供新的维度来理解和应对身份安全问题。需要注意的是，身份安全是一个宽泛的概念，它治理着个体访问企业资源的权限。而个人身份安全更注重的是对个体敏感信息的保护。两者都致力于减轻身份盗用和信息泄露的风险，但关注的焦点各有不同。
从攻击面管理的角度去考虑身份安全，我们要重点关注的是如何最小化潜在的攻击面，防止攻击者通过身份欺诈获取非法访问权限。这包括：完善的密码政策，多因素身份验证等等，确保用户身份的准确无误；访问控制应基于最小权限原则，即用户只能访问执行其工作所需的资源，无法访问其他信息等，保障企业信息安全。

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，需要点击下方链接即可前往获取 

读者福利 | CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享（安全链接，放心点击）

同时每个成长路线对应的板块都有配套的视频提供： 

大厂面试题

 

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料

所有资料共282G，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，可以扫描下方二维码或链接免费领取~ 

读者福利 | CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享（安全链接，放心点击） 

特别声明：

此教程为纯技术分享！本教程的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本教程的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失。