Wi-Fi網絡通常需要物理地接近才能取得連線,這明顯限製了被用作攻擊的潛力,直至近日出現的Nearest Neighbor攻擊策略,只要入侵目標附近較弱的鄰居,就能夠從地球的另一邊對目標的Wi-Fi發動攻擊。
對機構Wi-Fi網絡的遠端攻擊
先想像有一組黑客計劃遙距入侵一家公司,並對該公司進行資料搜集,調查裡裡外外的資料甚至在外洩的密碼資料庫中尋找員工的登入憑證,但他們沒有找到可利用的安全漏洞,更甚者,他們發現所有公司外部服務都受到雙重登入認證所保護,所以單憑一條密碼並不足入進入公司網絡。而潛在的滲透方法就是公司的Wi-Fi網絡,可通過相同的員工憑證進行存取,尤其當公司訪客Wi-Fi網絡並沒有從主網絡中設定足夠的隔離,在這種情況下,攻擊者唯一的難題便是目標在地球的另一端,無法物理性地連接辦公室的Wi-Fi。
Nearest Neighbor策略就是因為這種情況而誕生,如果黑客進行額外的偵察,很大機會發現有其他公司的辦公室就在目標的Wi-Fi訊號範圍之內,而這些鄰居機構可能具備更多的安全漏洞可以有機可乘,原因可能是這些機構覺得自己對黑客的吸引力較低,導致對保安的考量不足,例如沒有使用雙重登入認證,或者沒有定期更新軟件,導致存在可利用的安全漏洞。
對黑客而言,入侵這些防範較低的鄰居機構網絡比較容易,下一步就是在這些機構的網絡內,尋找一台通過線路連接網絡兼具備無線模組的裝置,入侵該裝置後便經由它掃描Wi-Fi網絡,攻擊者便能接觸到目標機構網絡的SSID,借此作為橋樑去連接實際目標機構的Wi-Fi網絡,如此一來就能進入目標機構的網絡,下一步就是實行他們的主要目標,盜竊資料、加密數據、監察員工活動等等。
防範Nearest Neighbor攻擊
以上的策略已經被至少一個APT組織所使用,所以並非一個理論策略,機構應該把Wi-Fi網絡的安全視作連接互聯網資料,並作出同等的保安考慮。
- 確保訪客Wi-Fi網絡完全從主網絡隔離
- 增強公司Wi-Fi存取的保安,例如使用一次性密碼或證書的雙重認證。
- 啟動雙重登入認證,不單只是外部資源,同時也包括內部,整體而言是採取Zero Trust的保安模式。
- 使用進階的偵測和防範系統,例如Kaspersky Next XDR Expert。
- 如果內部人力資源不足,可借助外部服務例如Managed Detection and Response和Incident Response。
資料來源:Kaspersky Blog
