Çok Faktörlü ve Risk Tabanlı Kimlik Doğrulama, Güvenlik İşlemleri
Aramalar Kötü Amaçlı Yazılım Geldikçe Tarayıcı Tabanlı Şifre Depolamayı Engelleyecek Şekilde Artıyor
Mathew J. Schwartz (euroinfosec) •
1 Mart 2024
Şifre yazmak sıkıcı bir iştir. Her zaman yardımcı olan tarayıcı üreticileri ve çevrimiçi hizmetler bunu biliyor ve bunları sizin için kaydetmeyi teklif ediyor. Sorun şu: Bilgisayar korsanları da bunu biliyor; tek fikirleri, kullanıcıların tarayıcılarda veya çerez dosyalarında rahatlıkla açıkta bıraktığı kayıtlı şifreleri çalmak.
Ayrıca bakınız: Dağıtılmış İşletme ve KOBİ Kullanım Durumları için Yeni Nesil Güvenlik Duvarı (NGFW) Rekabetçi Performansı
Siber güvenlik firması ReliaQuest’in yeni bir raporuna göre, 2023 yılında müşterilerinin güvenlik olaylarının %21’i, saldırganların kullanıcı adlarını, şifreleri, web tarayıcısı çerezlerini veya tarayıcılar tarafından saklanan diğer kişisel veya hassas bilgileri çalmasıyla sonuçlanan, izinsiz kimlik bilgisi erişiminin tarayıcı kimlik bilgisi dökümüyle ilgili olduğu belirtiliyor .
Bu tekniği kullanmak için, bir bilgisayar korsanı genellikle sistemdeki bilinen bir güvenlik açığını hedef alan bir kimlik avı saldırısı veya otomatik indirme kullanır veya uzaktan kod yürütmesine olanak tanıyan bir güvenlik açığını hedefler.
Kullanıcılara şifrelerini tarayıcılarda saklamamaları veya “ayrıntılarımı hatırla” web sitesi seçeneklerini kabul etmemeleri konusunda siber güvenlik uzmanlarından yıllardır gelen tavsiyelere rağmen, çalınan kimlik bilgisi sorunu daha da kötüleşiyor gibi görünüyor. ReliaQuest, Rusça konuşulan siber suç pazarlarında reklamı yapılan çalıntı kütük sayısının geçen yıl boyunca yaklaşık 150.000’den 455.000’e çıktığını söylüyor. 2023’ün başında takip ettiği sızdırılan kimlik bilgilerinin depoları %20 artarak 30 milyardan 36 milyara çıktı.
Ayrıca kimlik bilgisi hırsızlığı saldırılarının %18’inde de görülüyor: web çerezleri aracılığıyla oturumun ele geçirilmesi. Bu tür saldırılar, bir sunucuya yetkisiz erişim sağlamak için bir oturum belirtecinin çalınmasını veya geçerli bir belirtecin nasıl görüneceğini tahmin etmeyi içerir. ReliaQuest, gördüğü diğer kimlik bilgisi hedefleme tekniklerinin “girdi yakalama, ortadaki rakip ve işletim sistemi tabanlı kimlik bilgisi boşaltma tekniklerini içerdiğini” ancak kaba kuvvet erişimine teşebbüs vakası olmadığını söyledi.
Bu tür saldırıların yaygınlığı göz önüne alındığında, güvenlik firması siber güvenlik ekiplerine, “tehdit aktörlerinin depolama konumlarına erişmesi” nedeniyle kısmen çalışanların tarayıcılarına şifre kaydetmesini engelleyerek bu sorunu çözmek için tasarlanmış “politika ve kontrol önlemlerini uygulamaya” çağırıyor. ve içeriklerin sızdırılması veya şifrelerinin çözülmesi” ve onlara uygulanabilir alternatifler sunulması.
Kafa Karıştıran Tarayıcı Seçenekleri Dizisi
Güvenlik ekipleri için bir zorluk, kullanıcıların kimlik bilgilerini güvenli olmayan şekillerde depolayabileceği tüm farklı yolları bilmek olabilir. Cyjax’ın CISO’su Ian Thornton-Trump, “Bu konuyla ilgili çok fazla kafa karışıklığı var” dedi.
Chrome da dahil olmak üzere bazı tarayıcılar, kullanıcılara kimlik bilgisi alanlarını önceden doldurmayı teklif ettikleri bir “mini şifre kasası” sunar. Thornton-Trump bunu erişim kontrollü bir “mini vale”ye sahip olmaya benzetti. Bu kasalar erişim için iki faktörlü kimlik doğrulama gerektirmese de bunu yapabilirler.
Bu tür kasalar, web siteleri tarafından sunulan “bilgilerimi hatırla” veya “bu girişi hatırla” istemlerinden farklıdır. Kullanılırsa, bu oturum açma ayrıntılarını “bazen şifrelenmemiş ve karma edilmemiş” bir çerezde saklar ve “bu çerez, uzaktan erişime sahip biri veya bir keylogger tarafından çalınabilir” dedi.
Thornton-Trump, üçüncü tür bir özelliğin otomatik doldurma olarak bilindiğini ve “hassas bilgiler içeren bir çerez oluşturabileceğini” söyledi. Çerezlerle ilgili zorluklardan biri de “onları korumanın biraz zor olması; oturumlar ve çerezlerin geçerlilik süresinin sona ermesi de dahil olmak üzere web programlamayla çok ilgisi var.” Kısacası bu özellik her sunulduğunda güvenli olmayabilir.
Chrome’un Google Şifre Yöneticisi dahil tüm bu seçeneklerin güvenlik eksiklikleri vardır. “Google hesabı olmadan Chrome tarayıcısını şifre yöneticisi olarak kullanamazsınız” dedi. Bu, doğası gereği şifrelerin üçüncü bir tarafla paylaşılmasını içerdiğinden, bunu yapmak bir çalışanın imzaladığı her türlü güvenlik politikasını pekala ihlal edebilir.
Bunlar varsayımsal kaygılar değil. Geçtiğimiz Eylül ayında Okta, Okta tarafından yönetilen dizüstü bilgisayarında oturum açmışken kişisel Google hesabına kaydeden bir çalışanın geçerli erişim bilgilerini çalan bir saldırgan tarafından saldırıya uğradı. Saldırı, Okta’nın birincil müşteri destek sisteminin her kullanıcısına ait bilgileri tehlikeye attı (bkz.: Siber Kötülük: En İyi 12 Hack, Veri İhlalleri, 2023’ün Yanlış Adımları).
Büyüyen Kütük Bulutları
Tarayıcı kimlik bilgisi dökümü saldırılarının çoğu, bilgi çalan kötü amaçlı yazılımlara veya Truva atlarına kadar uzanır. ReliaQuest, bunların arasında yalnızca suçlular tarafından değil aynı zamanda Kuzey Kore’nin Lapsus grubu tarafından bitmek bilmeyen kripto para birimi çalma arayışında kullanılan RedLine’ın yanı sıra QakBot’un da bulunduğunu söyledi. Buna ek olarak, Violet Typhoon ve Judgment Panda olarak da bilinen APT31 kod adlı Çin ulus-devlet bilgisayar korsanlığı ekibinin, “tarayıcı kimlik bilgilerini boşaltma yeteneklerine sahip Python tarafından derlenmiş bir ikili dosya kullandığı biliniyor.”
Herhangi bir sistemden çalınan bilgi kümesine günlük adı verilir. Saldırganlar günlüklerini özel satışa sunabilir veya günlük bulutları olarak bilinen bir yöntemle bunları satın alabilir, satabilir veya dağıtabilir (bkz.: Bilgi Hırsızları Çalınan Veriler İçin Sıcak Pazarda Başarılı Oluyor).
Siber güvenlik firması Group-IB, “küçük bir ücret karşılığında veya ücretsiz olarak sunulan bu hizmetlerin, kimlik avı ve halka açık uygulamalardan yararlanma gibi daha zorlu siber suç tekniklerini uygulamaya gerek kalmadan, daha az vasıflı tehdit aktörlerine verilere ilk erişim olanağı sunduğunu” söyledi. yeni bir raporda.
Son aylarda, çalıntı ChatGPT hesaplarına erişim de dahil olmak üzere en fazla sayıda kimlik bilgisini toplayan bilgi hırsızları LummaC2 oldu ve onu Raccoon ve RedLine izledi. Diğer yaygın bilgi hırsızları arasında Vidar, Taurus ve AZORult yer alıyor.
Diğer bir seçenek ise Telegram tarafından kontrol edilen ve 30 $ karşılığında ömür boyu abonelik reklamı yapan Windows hedefleme bilgi hırsızı Millennium-RAT’tır. Daha güçlü bir seçenek ise Windows sistemlerinden veri toplayıp sıkıştırabilen ve bunu bir Telegram botuna gönderebilen ve aylık kiralama maliyeti 200 dolar olan WhiteSnake Stealer’dır.
Yenilik sabit kalır. Haziran 2023’te, MacStealer adlı yeni bir hırsızın piyasaya sürüldüğü ve macOS cihazlarını hedeflemek için “belgeleri, tarayıcı çerezlerini ve oturum açma kimlik bilgilerini” çalmak da dahil olmak üzere benzer yetenekler sunduğu belirtildi.
Fidye Yazılımı ve APT Grupları tarafından kullanılıyor
Güvenlik uzmanları, bilgi hırsızlarını, kurbanların kripto hesaplarını boşaltmak için kullanılan çalıntı kripto para cüzdanı kimlik bilgileri de dahil olmak üzere her türlü siber suçla ilişkilendirdi.
Uzmanlar, fidye yazılımı gruplarının ve ulus devlet korsanlarının da bulut günlüğü meraklıları olduğu konusunda uyarıyor. Group-IB, “Saldırılar basit görünebilir ve kurbanlar sanki rastgele seçilmiş gibi görünebilir, bu da birçok kişinin bilgi hırsızlarının kurumsal ağlara yönelik oluşturduğu tehdidi yanlışlıkla hafife almasına yol açar” dedi.
Evden çalışmak ve çalışanlara ait cihazların kullanılması, tarayıcı kimlik bilgilerinin boşaltılması riskini artırmış gibi görünüyor. Group-IB, “Dahası, bazen çalışanlar cihazları çocukları gibi diğer insanlarla paylaşıyor, bu da güvenli olmayan web siteleri, oyunlar, oyun hile kodları ve daha fazlası yoluyla kazara enfeksiyon kapma riskini artırıyor” diyor. “Suçluların cihazdaki tüm kimlik doğrulama verilerini toplayıp sunucularına sızdırması için kötü amaçlı bir dosyanın çalıştırılması yeterlidir.”
Önerilen Savunmalar
Tarayıcı kimlik bilgilerinin atılmasının yarattığı risk göz önüne alındığında uzmanlar, güvenlik ekiplerinin ayrıntılı günlükler tutmasını, bilgi hırsızlarının işaretlerini izlemesini ve çalınan kimlik bilgilerini kullanma girişimlerine karşı mümkün olan her yerde çok faktörlü kimlik doğrulamayı zorunlu kılmasını öneriyor.
ReliaQuest, bu tür saldırıları azaltmak için “kullanıcıların kimlik bilgilerini web tarayıcısında saklamasını engelleyen politikaların uygulanmasını” ve aynı zamanda kullanım kolaylığı için tek oturum açma gibi alternatif işlevler sağlanmasını tavsiye etti.
Cyjax’tan Thornton-Trump, şifreleri korumak ve kullanıcıların yalnızca benzersiz şifreler seçmesini sağlamak için, bunları iki faktörlü kimlik doğrulamayla korunan bağımsız şifre yöneticilerine taşımanın altın standart olmaya devam ettiğini söyledi. “Herhangi bir uygulamanın ve tarayıcının şifrelerini yönetmek için 2FA tarafından korunan tamamen ayrı bir uygulama, yalnızca 2FA sayesinde kesinlikle daha sağlam olacak ve ardından şifre yönetimi yeteneklerini RDP bağlantıları gibi şeylere genişletecek” dedi. .
Kimlik bilgisi arayan kötü amaçlı yazılımlarla mücadele için ReliaQuest, bir “izin verilenler listesi” aracılığıyla “iş kullanımı için gerekli olmayan bilinmeyen ve beklenmeyen uygulamaların yürütülmesini kısıtlamak” amacıyla Active Directory grup politikalarının AppLocker veya Windows Defender Uygulama Kontrolü gibi yazılımlarla birlikte kullanılmasını önerir. ” yaklaşmak. “Bu, tarayıcı kimlik bilgilerini ve telemetri verilerini ayıklamak isteyen tehdit aktörleri tarafından bilgi çalanların infaz edilmesine karşı mücadeleye yardımcı olacaktır.”