回顾前面的两例企业安全攻击事件，发现里面都使用了绕过2FA或MFA技术，笔者给大家介绍一些常用的绕过2FA或MFA的攻击技术。

(1)MFA疲劳攻击技术

(2)黑客使用Evilginx等黑客工具，进行中间人截持攻击

(3)通过暴力枚举破解2FA或MFA身份验证信息

(4)通过获取Cookies信息绕过2FA身份验证策略

(5)SIM劫持短信SMS中间人攻击

(6)利用漏洞直接绕过2FA或MFA身份验证策略

(7)通过钓鱼、木马和社会工程的方法

上面的几种攻击技术，基本可以绕过大部分2FA或MFA身份验证策略，在思科被攻击事件中黑客组织就是使用了MFA疲劳攻击技术，进入企业内网，但是有时候要绕过MFA或2FA的前提是要先拿到受害者的账号和密码，一般的黑客组织会通过各种恶意软件像RAT或Stealer窃密类木马拿到受害者帐号和密码或者直接拿到受害者的Cookies信息来进行更一步的绕过攻击活动，例如在Uber被攻击事件当中，国外安全研究人员在一个截图中发现了疑似某Stealer窃密类木马的记录信息，很有可能是Uber的员工感染了Stealer窃密类木马，然后黑客将窃取到的这些企业员工登录凭证信息挂到黑客暗网网站或地下黑客论坛上进行出售，这些信息被其他黑客获取到，然后进入了企业内网。

下面我们再详细聊聊这几种攻击技术，看看黑客是如何拿到企业员工凭证绕过2FA或MFA身份验证进入企业内网的。

(1)使用MFA疲劳攻击技术，诱骗绕过2FA或MFA身份验证策略，这种攻击方式就是通过自动化脚本不断地向受害者发送验证信息，直到受害者不管是有意还是无意点击接受为止，具体的攻击手法，可以参考如下链接：

https://portswigger.net/daily-swig/mfa-fatigue-attacks-users-tricked-into-allowing-device-access-due-to-overload-of-push-notifications

(2)使用Evilginx等黑客工具进行实时钓鱼中间人劫持攻击，获取2FA或MFA的登录凭证，具体的攻击手法，如下所示：

参考链接：

https://breakdev.org/evilginx-2-next-generation-of-phishing-2fa-tokens/

(3)通过暴力枚举2FA或MFA身份验证信息，在一些网站或系统登录的时候，还需要输入一个额外的验证码信息，可以通过抓包的方式，利用BurpSuite等工具进行暴力枚举，获取额外的验证码信息。

(4)通过获取Cookies信息，绕过2FA或MFA身份验证，具体的攻击手法，可以参考如下链接：

https://infosecwriteups.com/bypassing-2fa-with-cookies-ff2c79022f63

黑客如何获取受害者的Cookies的信息呢？可以使用恶意软件，例如一些窃密类的木马都有获取浏览器Cookies信息的功能，也可以使用上面的中间人攻击技术获取受害者Cookies信息，在Uber的攻击事件当中，黑客就是通过从暗网渠道购买其他黑客组织通过窃密类木马获取的企业员工Cookies信息，然后再进行后面的攻击活动。

(5)SIM劫持短信SMS中间人攻击，获取2FA或MFA身份验证信息，这种攻击方式，主要通过SIM卡劫持技术对SMS短信进行中间人攻击的方式，获取到SMS短信信息，达到绕过2FA或MFA身份验证。

(6)通过漏洞直接绕过2FA或MFA身份验证策略，这种攻击方式主要是通过应用系统以及手机应用系统等漏洞，直接绕过2FA或MFA身份验证策略。

(7)通过钓鱼、木马和社会工程的方式拿到2FA或MFA的身份验证信息，这种攻击方式主要通过钓鱼网站，诱骗受害者输入2FA或MFA身份验证信息，直接拿到受害者的2FA或MFA身份验证，然后绕过2FA或MFA，黑客还可以通过在手机上植入木马程序，对受害者手机的SMS短信进行截取，获取手机短信验证码信息，绕过2FA或MFA身份验证策略，另外一种攻击方法就是黑客使用社会工程学的方式，拿到受害者的相关2FA或MFA的一些身份验证信息，例如黑客通过社工靠近受害者，拿到受害者的指纹信息和人脸识别信息，还可以通过社工技术直接拿到受害者的短信验证信息，这种攻击方式在一些诈骗团伙中经常使用。

上面详细介绍了黑客组织使用的多个攻击技术，黑客组织在攻击一个企业目标，进入企业内网的时候可能会使用其中一种技术，也可能会使用多个攻击技术进行组合攻击，层层逃过企业中的各种安全产品和安全策略。

笔者一直在跟踪分析全球发生的最新企业安全攻击事件，这些真实的攻击事件的入口点，大多数还是以钓鱼攻击为主，包括各种APT攻击活动，钓鱼攻击分为直接使用虚假网页进行钓鱼攻击，或者通过钓鱼邮件附加恶意软件进行攻击，钓鱼攻击的核心原理其实就是以假乱真，欺骗受害者输入登录信息或者点击附件中的恶意软件，盗取受害者的各种信息，钓鱼攻击成功的关键其实就是免杀，如果钓鱼的虚假网站被安全产品识别并拦截或者钓鱼邮件附件的恶意软件被安全产品及时查杀了，那钓鱼攻击就基本失败了，同时还会引起企业员工的警惕，所以免杀是钓鱼攻击成功的关键，同时想要钓鱼攻击成功，还需要掌握更多企业及企业员工的相关信息，这样可以伪造各种信息进行钓鱼攻击，增大钓鱼成功的机会。

钓鱼攻击也是APT组织最常用的攻击技术之一，APT技术最核心技术，其实也是木马免杀技术，如果黑客组织的木马不能在企业长久的驻留，那就没办法开展后面的APT持续攻击了，APT攻击的核心其实在于P，也就是Persistent,很多人其实并不了解APT，也没有理解APT真正的意义在于什么，并不是说使用了多少高级的攻击技巧，也不是使用了什么高级的0day漏洞，真正的APT攻击最核心的技术其实是免杀技术，能让木马后门长期驻留在企业当中，而不被企业中的各种安全产品和安全策略发现，就是最顶级的APT攻击技术，就像SolarWinds被APT攻击长达半年之久，才被全球各大顶级安全厂商发现，这才是最顶级的攻击，而且从目前掌握的证据，SolarWinds APT攻击事件并没有发现使用什么非常高级的0day漏洞，主要还是因为SolarWinds的后门隐蔽技术非常强，同时再加上供应链攻击手法，从而逃避了全球各大顶级安全厂商的检测。

前几天在笔者的全球恶意软件研究中心交流群里，大家在交流的时候，笔者也认为APT攻击的核心就是免杀，免杀技术的高低和木马驻留存活时间的长短，决定了一次APT攻击最后的成败，免杀技术不仅仅是木马的静态免杀、动态免杀，还有就是通信协议的免杀等，前期的攻击手法可以多种多样，包含钓鱼攻击、水坑攻击，也可以使用各种0day/1day/Nday等漏洞，在通过这种攻击手法入侵到企业内网之后，能不能展开后面的APT持续攻击活动，取决于黑客组织在企业中驻留的木马或后门免杀技术是否更隐蔽了，不然如果很快被企业发现，那可能攻击就会被中断，更达不到持久化监控攻击的目的，所以笔者说APT攻击的核心是免杀，免杀技术的研究一直是全球黑客组织最核心的技术，同时免杀木马也是黑客组织最有效的攻击武器，如果对APT攻击还不太了解的朋友，可以去参考笔者此前写过的一篇文章，里面讲的很清楚了。

《聊聊APT的溯源分析》

黑客攻击手法多种多样，只要黑客弄清了企业安全产品和安全策略防御的技术原理，就可以找到相应的攻击手法，同样安全研究人员只要弄清了黑客的攻击手法和攻击武器，就可以找到对应的防御方案，这就是攻防对抗，有攻必有防，有防必有攻，这么多的黑客攻击手法当中，笔者也一直认为钓鱼+社工永远是最高级的攻击方式，只要你前期能通过各种渠道掌握足够多的攻击者企业和员工相关信息，然后再针对性的对企业和员工进行钓鱼+社工基本就可以成功，全球顶级的APT组织在进行攻击的时候，也常常使用钓鱼+社工的攻击方式。

最近很火的一个概念就是零信任，然后所有的人似乎把希望寄存在零信任产品上，好像零信任就能解决企业存在的所有安全问题，其实零信任只是一个概念，它并不是指某个单个产品，零信任概念算是一种比较新的概念，然而零信任相关产品使用的技术并不是什么最新的技术，零信任的关键其实是需要很强大的终端安全能力作为支撑的，不然零信任可能就真的只是一个概念，要么就是谁也不零任，要么就是谁都信任，就没有意义了，零信任是一整套安全解决方案，从各种边界防御技术到终端安全产品和安全策略，真要落地到企业其实是需要很多基础安全产品能力和强大的威胁情报数据去支撑的，并不是简单的某个单一产品，零信任要走的路还很长，不过零信任理念可以作为未来企业网络安全防护体系的重要发展方向，其实就是假设没有攻不破的系统，打破企业默认的信任机制，持续验证，永不信任，然而人永远是企业最大安全漏洞所在，就像笔者在一些国外侠盗电影里看到的，不管银行使用多么强的保险措施，使用怎样的高强度的MFA因素验证，只要攻击相应的管理人员，逐一击破，就可以拿到对应的权限，进入银行的保险柜系统，就可以达到攻击的目的。

做安全兴趣是第一要素，但是光有兴趣，想做好安全也是不行的，还需要有持续不断地坚持努力学习，不断实践，不断提升自身的安全能力，做安全有时候确实很“累”，选择做安全就是一条“不归路”，但笔者没有后悔选择安全这条路，因为做安全不仅仅是笔者谋生一种手段，也是笔者最大的兴趣与爱好，同时笔者一直把做安全当成自己的一种的事业来做，并不是想着做一天两天，一年两年赚点快钱就不做了，在笔者看来国内安全产业在未来十年可能会迎来一个新的增长期，这个期间就像大浪淘沙，真正能留下的可能是那些真正想做好安全，愿意做安全的企业，国外一些安全企业都做了几十年了，再看国内的一些安全企业，能坚持做十几年的都很少了，此前有一些企业没有坚持做安全，现在又回过头来想做安全，以前一些企业因为做安全短期赚不了大钱就转去做别的了，最近又回归安全的轨道上来，其实又得重头开始，真想做好安全，其实是很难的，如果还是那种想赚一波快钱，就跑路的思想，只想趁现在安全火，短期做做安全，赚波快钱，真的没必要再插进来做安全了，还是去做点别的更好一点，可能赚的钱更多一点，未来国内安全企业要走的路还很长，也许也会很艰难，然而做安全本身是一个长期的持续对抗艰苦奋斗的过程，安全永远在路上，攻与防就是矛与盾，永远不会消亡，只有坚持不懈走下去的企业，也许才能做好安全，才能最终获得客户的信任。

受到全球整体经济形势的影响，安全行业最近几年可能会比较艰难，然而只要坚持，就有希望，同时笔者相信越是艰难的时候，越是要坚持努力，也越是能干出事业的时候，大浪淘沙，留下的就是金子，做人踏实一点，格局再大一点，眼光再远一点，做安全本身就是一个长期坚持，持续对抗的过程，踏踏实实，只要坚持下去就一定可以做大做强，安全行业的未来一定是美好的，国内安全行业也需要一些真正持续不断去坚持做好安全的企业。

好了，就先聊到这里吧，安全研究包含的东西太多了，攻与防会一直存在，有空的时候再跟大家聊吧，笔者做安全的乐趣其实就是分析与研究，好玩吧了，通过分析和研究一些全球最新的安全攻击事件以及全球黑客组织开发的最新的攻击武器，可以更好的了解这些黑客组织的攻击技术，能更好的进行安全防御，这些攻击武器包含各种最新的恶意软件、漏洞和攻击技术，笔者喜欢研究各种恶意软件，每一款恶意软件样本的背后其实就是一个黑客组织或团伙，不管是勒索、挖矿、还是远控木马，窃密间谍类软件都是黑客组织或团伙的成员开发的，同时这些恶意软件可能都被应用到各种攻击活动当中。

笔者一直从事与恶意软件威胁情报等相关安全分析与研究工作，包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等，涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS)，笔者做安全研究的兴趣就是喜欢研究一些最新的恶意软件家族样本，跟踪国内外报道的各种安全事件中涉及到的攻击样本等，通过详细分析各种安全攻击事件中涉及的样本、漏洞和攻击技巧等，可以了解全球黑客组织最新的攻击技术以及攻击活动趋势等，同时还可以推判出他们大概准备做什么，发起哪些攻击活动，以及客户可能会受到什么危害等，通过研究全球的黑客组织以及攻击活动，做到知已知彼，各位读者朋友如果有遇到什么新的恶意软件家族样本或最新的家族变种都可以私信发给笔者，感谢给笔者提供样本的朋友们！

做安全，不忘初心，与时俱进，方得始终！

安全分析与研究，专注于全球恶意软件的分析与研究，追踪全球黑客组织攻击活动，欢迎大家关注。