对 Wi-Fi 网络的远程攻击

从信息安全的角度来看，无线网络通常被视为只能在本地访问的东西——要连接到它们，攻击者需要在物理上靠近接入点。这大大限制了它们在组织攻击中的使用，因此它们被认为相对没有风险。很容易认为互联网上的一些随机黑客永远不可能简单地连接到公司的 Wi-Fi 网络。然而，新出现的最近邻攻击策略表明，这种看法并不完全准确。

即使是受到良好保护的组织的无线网络，如果远程攻击者首先入侵位于同一建筑物或相邻建筑物中的另一家更易受攻击的公司，则他们也可能成为远程攻击者的便捷切入点。让我们更深入地研究一下它是如何工作的以及如何保护自己免受此类攻击。

让我们想象一下，一群攻击者计划远程入侵一个组织。他们收集有关给定公司的信息，调查其外部边界，甚至可能在泄露密码的数据库中找到员工凭据。但他们没有发现可利用的漏洞。此外，他们发现该公司的所有外部服务都受到双因素身份验证的保护，因此仅靠密码不足以进行访问。

一种可能的渗透方法可能是公司 Wi-Fi 网络，他们可以尝试使用这些相同的员工凭证访问该网络。如果组织的访客 Wi-Fi 网络与主网络隔离不充分，则尤其适用 — 此类网络很少使用双因素身份验证。但是，存在一个问题：攻击者位于地球的另一端，无法物理连接到办公室 Wi-Fi。

这就是最近邻策略发挥作用的地方。如果攻击者进行额外的侦查，他们很可能会发现许多其他组织的办公室位于目标公司的 Wi-Fi 信号范围内。而且，一些邻近组织可能比攻击者的初始目标更容易受到攻击。

这可能仅仅是因为这些组织认为网络攻击操作者对他们的活动不太感兴趣，从而导致安全措施不那么严格。例如，他们可能不会对其外部资源使用双重身份验证。或者他们可能无法及时更新软件，从而暴露出容易利用的漏洞。

无论如何，攻击者更容易访问这些相邻组织的网络之一。接下来，他们需要在邻居的基础设施中找到一个连接到有线网络并配备无线模块的设备，并对其进行破坏。通过此类设备扫描 Wi-Fi 环境，攻击者可以找到目标公司网络的 SSID。

使用受感染的邻居设备作为桥梁，攻击者可以连接到其实际目标的公司 Wi-Fi 网络。通过这种方式，他们进入了目标组织的边界。实现这个初始目标后，攻击者就可以继续实现他们的主要目标——窃取信息、加密数据、监控员工活动等等。

值得注意的是，这种策略已经被至少一个 APT 组织使用，因此这不仅仅是一个理论上的威胁。可能成为此类攻击目标的组织应该开始像对待其互联网连接资源的安全一样认真对待其无线局域网的安全性。

为了防范最近邻攻击，我们建议采取以下措施：

• 确保访客 Wi-Fi 网络与主网络真正隔离。

• 加强企业 Wi-Fi 访问的安全性 — 例如，使用一次性代码或证书的双重身份验证。

• 启用双重身份验证 — 不仅适用于外部资源，也适用于内部资源，并且通常采用 Zero Trust 安全模型。

• 使用高级威胁检测和预防系统，例如 Kaspersky Next XDR Expert。

• 如果您缺乏高素质的内部网络安全专家，请使用外部服务，例如 Managed Detection and Response 和 Incident Response。