Web tarayıcılarındaki kullanıcıları hedefleyen saldırılar son yıllarda benzeri görülmemiş bir artış gördü. Bu makalede, “tarayıcı tabanlı bir saldırının” ne olduğunu ve neden bu kadar etkili olduğunu kanıtlayacağını keşfedeceğiz.
Tarayıcı tabanlı bir saldırı nedir?
İlk olarak, tarayıcı tabanlı bir saldırının ne olduğunu belirlemek önemlidir.
Çoğu senaryoda, saldırganlar kendilerini web tarayıcınıza saldırmak olarak düşünmezler. Son hedefleri, iş uygulamalarınızdan ve verilerinizi tehlikeye atmaktır. Bu, şimdi işin omurgası olan üçüncü taraf hizmetlerinin peşinden gitmek anlamına geliyor.
Bugün en yaygın saldırı yolu, saldırganların üçüncü taraf hizmetlerine giriş yaptığını, verileri boşalttığını ve gasp yoluyla para kazandığını görüyor. Etkiyi görmek için sadece geçen yılki Snowflake müşteri ihlallerine veya hala devam eden Salesforce saldırılarına bakmanız gerekiyor.
Bunu yapmanın en mantıklı yolu, bu uygulamaların kullanıcılarını hedeflemektir. Ve çalışma uygulamalarındaki değişiklikler nedeniyle, kullanıcılarınız dış saldırganlara her zamankinden daha erişilebilir ve daha geniş bir olası saldırı tekniklerine maruz kalırlar.
 |
| AITM Kimlik avı, ClickFix ve Onay Kimlik avı gibi tarayıcı tabanlı saldırılar son yıllarda benzeri görülmemiş bir artış gördü. |
Bir zamanlar, e-posta daha geniş dünyaya sahip birincil iletişim kanalıydı ve işler yerel olarak-cihazınızda ve kilitli ağ ortamınızın içinde oldu. Bu, e -posta ve uç noktayı güvenlik perspektifinden en yüksek önceliği yaptı.
Ancak şimdi, merkezi olmayan bir İnternet uygulamaları ağında ve e -posta dışında daha çeşitli iletişim kanallarında modern çalışmalar gerçekleşirken, kullanıcıların kötü niyetli içerikle etkileşime girmesini durdurmak daha zordur (en azından işlerini yapma yeteneklerini önemli ölçüde engellemeden).
Tarayıcının iş uygulamalarına erişildiği ve kullanıldığı yer olduğu göz önüne alındığında, saldırıların da giderek daha fazla oynadığı mantıklıdır.
Güvenlik ekiplerinin bilmesi gereken 6 temel tarayıcı tabanlı saldırı
1. Kimlik bilgileri ve oturumlar için kimlik avı
Bir saldırganın bir iş başvurusunu tehlikeye atmanın en doğrudan yolu, bu uygulamanın bir kullanıcısını Phish içindir. Kimlik avını tarayıcı tabanlı bir saldırı olarak düşünmeyebilirsiniz, ancak bugün tam olarak budur.
Kimlik avı takımları ve altyapı son on yılda çok gelişti, işteki değişiklikler, kimlik avı saldırısı teslimatı için daha fazla vektör, hem de hedefe uygulama ve kimlikler olduğu anlamına geliyor.
Saldırganlar, anlık messenger uygulamaları, sosyal medya, SMS, kötü amaçlı reklamlar üzerinden bağlantılar sunabilir ve uygulama içi messenger işlevlerini kullanabilir ve e-posta tabanlı kontrolleri atlamak için doğrudan SaaS hizmetlerinden e-posta gönderebilir. Benzer şekilde, değişen düzeyde hesap güvenliği yapılandırması ile hedef için işletme başına yüzlerce uygulama var.
 |
| Kimlik avı artık çok ve çapraz kanaldır, esnek AITM araç seti kullanarak çok çeşitli bulut ve SaaS uygulamalarını hedefler- ancak tüm yollar kaçınılmaz olarak tarayıcıya yol açar. |
Bugün, kimlik avı, bir dizi gizleme ve tespit kaçınma teknikleri kullanarak endüstriyel ölçekte faaliyet göstermektedir. En yeni nesil tamamen özelleştirilmiş MFA-Bypassing kimlik avı kitleri, web sayfasını yükleyen kodu dinamik olarak gizlemek, özel bot koruması (CAPTCHA veya Cloudflare turnikesi) uygulamak, çalışma zamanı anti-analiz özelliklerini kullanarak ve izlerini kapsamak için kimlik aktarma bağlantılarını barındırmak ve sunmak için meşru SaaS ve bulut hizmetleri kullanmaktır. Modern kimlik avı saldırılarının burada tespit kontrollerini atlama yolları hakkında daha fazla bilgi edinebilirsiniz.
Bu değişiklikler, kimlik avlamayı her zamankinden daha etkili hale getiriyor ve e-posta ve ağ tabanlı aksisizasyon karşıtı araçları kullanarak tespit edilmesi ve engellenmesi giderek zorlaşıyor.
2. Kötü niyetli kopyala ve yapıştır (aka. ClickFix, FileFix, vb.)
Geçen yılın en büyük güvenlik eğilimlerinden biri, ClickFix olarak bilinen saldırı tekniğinin ortaya çıkması oldu.
Başlangıçta “sahte captcha” olarak bilinen bu saldırılar, kullanıcıları cihazlarında kötü amaçlı komutlar çalıştırmaya çalışır – genellikle tarayıcıda bir tür doğrulama zorluğunu çözerek.
Gerçekte, meydan okumayı çözerek, kurban aslında sayfa panosundan kötü amaçlı kodu kopyalayıp cihazlarında çalıştırıyor. Genellikle kurban, istemi tıklatmayı ve komutları doğrudan Windows Run iletişim kutusuna, terminaline veya PowerShell’e kopyalama, yapıştırma ve çalıştırmayı içeren talimatları verir. İşletim sistemi komutlarını yürütmek için Dosya Explorer adres çubuğunu kullanan dosya filix gibi varyantlar da ortaya çıktı.
En yaygın olarak, bu saldırılar iş uygulamalarına ve hizmetlerine erişmek için çalıntı oturum çerezleri ve kimlik bilgileri kullanarak Infostealer kötü amaçlı yazılım sunmak için kullanılır.
Modern kimlik bilgisi ve oturum kimlik avı gibi, kötü amaçlı sayfalara bağlantılar çeşitli dağıtım kanallarına dağıtılır ve Captcha, Cloudflare Turnstile taklit etme, bir web sayfasını yükleyen bir hatayı simüle etme ve daha fazlası dahil olmak üzere çeşitli yemler kullanılır. Kimlik avı sayfalarının analizini gizlemek ve önlemek için kullanılan aynı korumaların çoğu, ClickFix sayfalarına da uygulanır, bu da bunları tespit etmeyi ve engellemeyi eşit derecede zorlaştırır.
 |
| Vahşi Saldırganlar tarafından kullanılan ClickFix cazibe örnekleri. |
3. Kötü niyetli OAuth entegrasyonları
Kötü niyetli OAuth entegrasyonları, saldırganların bir kullanıcıyı kötü niyetli, saldırgan kontrollü bir uygulama ile entegrasyona yetkilendirerek kandırarak bir uygulamayı tehlikeye atmanın başka bir yoludur. Bu aynı zamanda onay kimlik avı olarak da bilinir.
 |
| Bir saldırganın kurbanı, saldırgan kontrollü bir uygulamayı riskli izinlerle yetkilendirmeye yönlendirdiği rıza kimlik avı örnekleri. |
Bu, saldırganların bir hesabı devralmak için tipik oturum açma işlemini ortadan kaldırarak sertleştirilmiş kimlik doğrulama ve erişim kontrollerini atlamaları için etkili bir yoldur. Bu, standart giriş işlemi uygulanmadığından, Passkeys gibi kimlik avına dayanıklı MFA yöntemlerini içerir.
Bu saldırının bir çeşidi, devam eden Salesforce ihlalleriyle son zamanlarda manşetlere hakim oldu. Bu senaryoda saldırgan, kurbanı Salesforce’daki cihaz kodu yetkilendirme akışı aracılığıyla saldırgan kontrollü bir OAuth uygulamasına izin vermeye kandırdı, bu da kullanıcının bir şifre veya MFA faktörü yerine 8 haneli bir kod girmesini gerektiriyordu.
 |
| Devam eden Salesforce saldırıları, kötü niyetli OAuth uygulamalarına kurbanın Salesforce kiracısına erişim sağlanmasını içerir. |
Kötü amaçlı OAuth hibelerinin yetkilendirilmesini önlemek, kullanıcı izinlerinin ve kiracı güvenlik ayarlarının uygulama içi yönetimi gerektirir. Bu, birçoğu BT ve güvenlik ekipleri tarafından merkezi olarak yönetilmeyen (veya bazı durumlarda tamamen bilinmemektedir) modern girişimde kullanılan 100’lerin uygulamalarını göz önünde bulundururken bir şey değildir. O zaman bile, uygulama satıcısı tarafından sunulan kontrollerle sınırlısınız.
Bu durumda Salesforce, bu saldırıların dile getirdiği güvenliği artırmak için OAuth uygulama yetkisinde planlanan değişiklikleri duyurdu – ancak saldırganların gelecekte yararlanması için güvensiz yapılandırmalara sahip daha birçok uygulama mevcut.
4. Kötü niyetli tarayıcı uzantıları
Kötü niyetli tarayıcı uzantıları, saldırganların gerçekleştikçe girişleri gözlemleyip yakalayarak iş uygulamalarınızı tehlikeye atmaları ve/veya tarayıcı önbelleği ve şifre yöneticisine kaydedilen oturum çerezlerini ve kimlik bilgilerini çıkararak başka bir yoldur.
Saldırganlar bunu kendi kötü niyetli uzantılarını oluşturarak ve kullanıcılarınızı yüklemeye kandırarak veya zaten yüklendiği tarayıcılara erişmek için mevcut bir uzantıyı devralarak yaparlar. Saldırganların mevcut uzantılara kötü amaçlı güncellemeler satın alması ve eklemeleri şaşırtıcı derecede kolaydır ve kolayca uzantısı web mağazası güvenlik kontrollerini geçer.
Siberhaven uzantısının Aralık 2024’te en az 35 başka uzantıya hacklenmesinden bu yana uzatma temelli uzlaşma ile ilgili haberler arttı. O zamandan beri, milyonlarca kurulumla 100’lü kötü niyetli uzantılar tanımlandı.
Genel olarak, güvenlik ekibiniz tarafından önceden onaylanmadıkça, çalışanlarınız tarayıcı uzantılarını rastgele yüklememelidir. Bununla birlikte, gerçek şu ki, birçok kuruluşun çalışanlarının kullandığı uzantılar ve sonuç olarak maruz kaldıkları potansiyel riski çok az görünürlüğe sahip olmasıdır.
5. Kötü niyetli dosya teslimatı
Kötü niyetli dosyalar, yıllardır kötü amaçlı yazılım sunumunun ve kimlik bilgisi hırsızlığının temel bir parçası olmuştur. Tıpkı kimlik avı ve clickFix cazibesi sunmak için kötüverizasyon ve sürücü saldırıları gibi e-posta olmayan kanalların kullanıldığı gibi, kötü amaçlı dosyalar da benzer yollarla dağıtılır-kötü amaçlı dosya algılaması, temel bilinen kontrollere, sanal alan analizi (sandbox-bilgeli kötü amaçlı yazılım bağlamında yararlı değil) veya çalışma süresi analizi kullanılarak bırakır.
Bu sadece kötü amaçlı yürütülebilir ürünlerin doğrudan cihaza kötü amaçlı yazılımı bırakması gerekmez. Dosya indirmeleri, kullanıcıyı kötü amaçlı içeriğe götüren ek bağlantılar da içerebilir. Aslında, en yaygın indirilebilir içerik türlerinden biri, yaygın olarak yerel kimlik avı sayfalarını gizlice yakalamak için ortaya çıkarmak için kullanılan HTML Uygulamalarıdır (HTA’lar). Daha yakın zamanlarda, saldırganlar SVG dosyalarını benzer bir amaç için silahlandırıyorlar ve sahte giriş portallarını tamamen istemci tarafı oluşturan bağımsız kimlik avı sayfaları olarak çalışıyorlar.
Kötü niyetli içerik her zaman bir dosyanın yüzey düzeyinde incelemesinden işaretlenemese bile, tarayıcıda dosya indirmeleri kaydetmek, uç nokta tabanlı kötü amaçlı yazılım korumasına yararlı bir ektir ve istemci tarafı saldırıları gerçekleştiren dosya indirmelerine karşı başka bir savunma katmanı sağlar veya kullanıcıyı kötü amaçlı web tabanlı içeriğe yönlendirir.
6. Çalınan kimlik bilgileri ve MFA boşlukları
Bu sonuncusu tarayıcı tabanlı bir saldırı değil, ama onların bir ürünü. Kimlik bilgileri kimlik avı veya Infostealer kötü amaçlı yazılım yoluyla çalındığında, eksik MFA hesaplarını devralmak için kullanılabilir.
Bu en sofistike saldırı değil, ama çok etkili. Saldırganların çalınan kimlik bilgilerini nasıl ölçeklendirdiğini görmek için sadece geçen yılki Snowflake hesabı uzlaşmalarına veya Jira saldırılarına bakmanız gerekiyor.
Yüzlerce uygulama kullanan modern işletme ile, bir uygulamanın zorunlu MFA (mümkünse) için yapılandırılmaması olasılığı yüksektir. Ve bir uygulama SSO için yapılandırıldığında ve birincil kurumsal kimliğinize bağlı olsa bile, yerel “hayalet girişleri” var olmaya devam edebilir ve MFA gerekmeyen şifreleri kabul edebilir.
Girişler tarayıcıda da gözlemlenebilir – aslında, çalışanlarınızın gerçekte nasıl oturum açtıklarını, hangi uygulamaları kullandıklarını ve MFA’nın mevcut olup olmadıklarını, güvenlik ekiplerinin saldırganlar tarafından sömürülmeden önce savunmasız girişleri bulmasını ve düzeltmelerini sağlayan evrensel bir gerçek kaynağına yakındır.
Çözüm
Tarayıcıda saldırılar giderek daha fazla oluyor. Bu, bu saldırıları tespit etmek ve yanıtlamak için mükemmel bir yer haline getirir. Ancak şu anda, tarayıcı çoğu güvenlik ekibi için kör bir nokta.
Push Security’nin tarayıcı tabanlı güvenlik platformu, ihlallerin önde gelen nedenine karşı kapsamlı algılama ve yanıt yetenekleri sağlar. Çalınan oturum jetonları kullanarak AITM Kimlik Avı, Kimlik Bilgisi Dolması, Parola Püskürtme ve Oturum Kaçırma gibi tarayıcı tabanlı saldırıları bastırır. Ayrıca, kimlik saldırısı yüzeyinizi zorlaştırmak için çalışanlarınızın hayalet girişleri, SSO kapsam boşlukları, MFA boşlukları, riskli parola, riskli OAuth entegrasyonları ve daha fazlası gibi uygulamalarda güvenlik açıklarını bulmak ve düzeltmek için Push’u da kullanabilirsiniz.
Push, tarayıcıdaki saldırıları tespit etmenize ve durdurmanıza nasıl yardımcı olduğu hakkında daha fazla bilgi edinmek istiyorsanız, en son ürün genel bakışımıza göz atın veya canlı bir demo için ekibimizden biriyle biraz zaman ayırın.