什麼是 HTTP 客戶端工具？

這些是用於發送 HTTP 請求和接收來自 Web 伺服器的回應的軟體應用程式或程式庫。它們允許用戶客制化請求、包含Payload並檢查伺服器回應。

上升趨勢：

本文強調了一種日益增長的趨勢，即攻擊者正在利用合法的 HTTP 客戶端工具進行惡意活動，例如暴力攻擊和中間人 (AitM) 技術。這些工具通常來自 GitHub 等公共儲存庫。

歷史背景：

• 2018 年，發現一項使用 OkHttp 客戶端版本（「okhttp/3.2.0」）針對 Microsoft 365 環境的攻擊活動。這項活動涉及近四年的未經授權的存取嘗試，重點針對高價值目標。
• 攻擊者使用了 2016 年 LinkedIn 憑證洩露等違規行為中的數據，也使用用戶枚舉方法(user enumeration method)來識別有效的電子郵件地址。

當前趨勢：

• HTTP 客戶端在 ATO 攻擊中仍然很受歡迎。 2024 年初，OkHttp 變體佔據主導地位，但到 2024 年 3 月，更廣泛的 HTTP 客戶端獲得了關注。
• 2024 年下半年，78% 的組織至少經歷過一次涉及 HTTP 客戶端的 ATO 嘗試。
• 「python-request」等新客戶端已被整合到暴力攻擊鏈中，大大增加了威脅量。

Axios HTTP 客戶端攻擊：

• Axios 是一個基於承諾的 Node.js 和瀏覽器 HTTP 客戶端。支援流量攔截、轉換和取消。
• 與 AitM 平台一起使用時，它可以實現憑證、MFA Token和Session token盜竊。
• 攻擊鏈涉及：
  1. 透過電子郵件進行網路釣魚竊取認證(Credential)。
  2. 使用被盜認證和 MFA Token接管帳號。
  3. 入侵後的活動，例如建立郵箱規則、資料外洩和建立 OAuth 應用程式。
• 這次攻擊活動針對的是高階主管、財務長和營運人員，成功影響了 51% 的目標組織並危及了 43% 的目標使用者帳戶。

節點取得客戶端攻擊：

• Node-fetch 簡化了 Node.js 中 Fetch API 的使用。它的簡單性使其適合大規模自動化。
• 它主要用於暴力攻擊，尤其是密碼噴灑(password spraying)。
• 攻擊者使用龐大的基礎設施和輪換的 IP 位址來逃避偵測。
• 活動共發生超過 1,300 萬次登入嘗試，但成功率很低，僅影響了 2% 的目標組織。

教育部門是主要目標：

學生帳戶被用於垃圾郵件攻擊或出售給其他網路犯罪分子。

攻擊工具的演進：

• Go Resty 於 2024 年 8 月被發現，與 Node Fetch 攻擊結合使用，但此後已停止。
• 攻擊者不斷調整和切換 HTTP 客戶端工具，以提高效率並逃避偵測。

可觀察資料：

原文提供了 HTTP 客戶端使用者代理程式列表，以及其他妥協指標，例如託管服務名稱和與惡意活動相關的 URL，可用於通知準確的偵測。

總結：

總之，原文詳細介紹了威脅行為者如何使用各種 HTTP 客戶端工具進行 ATO 攻擊，強調了這些攻擊日益複雜化以及需要採取強有力的安全措施來減輕這些威脅。

參考資料