Microsoft Office 365’in Çok Faktörlü Kimlik Doğrulama (MFA) korumalarını atlatmak için “SessionShark” adlı sofistike yeni bir kimlik avı aracı seti özel olarak tasarlanmıştır.
SessionShark yeraltı forumlarında bir anahtar teslimi Hizmet Olarak Kimlik Avı (PHAAS) çözümü olarak pazarlanmaktadır. Düşük vasıflı tehdit aktörlerinin bile oturum jetonlarını çalarak ve MFA’yı etkisiz hale getirerek ofis 365 hesaplarını ele geçirmelerini sağlar.
Bu gelişme, bulut tabanlı iş ortamlarını hedefleyen kimlik avı araç setlerinin karmaşıklığını ve erişilebilirliğinde artmaya işaret ediyor.
.png
)
SessionShark, MFA güvenliğini nasıl atlar?
SessionShark, bir kullanıcıyı doğrulayan dijital jetonlar olan kurbanların oturum çerezlerini yakalar.
Saldırganlar bu jetonları aldıktan sonra, tipik olarak MFA sistemleri tarafından gereken bir kerelik şifreye ihtiyaç duymadan kimliği doğrulanmış oturumu ele geçirebilirler.
Slashnext, araç setinin Microsoft’un giriş arayüzlerinin “artan inanılabilirlik için çeşitli koşullara uyum” sağlayan son derece ikna edici kopyalarını kullandığını bildirdi.
Bu gerçekçi kimlik avı sayfaları, kimlik bilgilerini ve oturum verilerini gizlice toplarken, şüphesiz kullanıcıları meşru bir kimlik doğrulama süreci gibi yönlendirir.
Gelişmiş Kırılma Özellikleri
Araç seti, otomatik güvenlik tarayıcılarını ve araştırma botlarını filtrelemek için özel “insan doğrulama teknikleri” uygulayarak kimlik avı içeriğinin güvenlik sistemlerinden gizli kalmasını sağlıyor.
SessionShark’ın mimarisi, gerçek barındırma altyapısını maskelemeye yardımcı olan ve yayından kaldırma çabalarını karmaşıklaştıran Cloudflare Services ile yerel uyumluluk içerir.
Ek olarak, araç seti, büyük tehdit istihbarat beslemeleri ve anti-akış sistemleri tarafından tespit edilmekten kaçınmak için özel olarak tasarlanmış özel HTTP başlıkları ve kaçamaklı komut dosyaları içerir.
Yukarıdakiler gibi kalıpları algılarken, SessionShark, kimlik avı bileşenlerini ortaya çıkarmak yerine meşru bir web sitesi olarak görünecek şekilde davranışını dinamik olarak değiştirebilir.
Araç seti, kurbanlar kimlik bilgilerini gönderdiğinde saldırganlara derhal bildirim sağlayan Telegram bot entegrasyonuna sahip kapsamlı bir günlük sistemine sahiptir.
Bu gerçek zamanlı uyarı sistemi, kurbanın e-postasını, şifresini ve en önemlisi, oturum çerezlerini içerir ve geleneksel olay müdahale yeteneklerini aşan uzlaşma saniyeleri içinde hesap devralmalarını sağlar.
Açıkça kötü niyetli amacına rağmen, SessionShark’ın geliştiricileri BT’yi “eğitim amaçlı” feragatname ile pazarlıyor – suç kullanımı için tasarlanmış bir ürün satarken makul bir inkar edilebilirlik sağlamak için şeffaf bir girişim.
Hizmet olarak bu kimlik avı sunumu, özel telgraf kanalları aracılığıyla kullanıcı desteği de dahil olmak üzere meşru yazılımlarda yaygın olan abonelik tabanlı modeli takip eder.
Saldırı araçlarının bu ticarileştirilmesi, siber suç ekosisteminde, sofistike saldırı yöntemlerinin daha az teknik tehdit aktörleri için erişilebilen kullanıcı dostu ürünlere paketlendiği bir eğilimi temsil eder.
Güvenlik uzmanları için SessionShark, güvenlik önlemleri ve kaçınma teknikleri arasındaki artan silah yarışını örneklendirir. Hesap uzlaşmasına karşı birincil savunmaları olarak yalnızca MFA’ya güvenen kuruluşlar, aşağıdakiler de dahil olmak üzere ek koruyucu katmanlar uygulamalıdır.
- AITM saldırılarını tanımlayabilen gelişmiş kimlik avı tespit çözümleri
- Şüpheli giriş kalıpları ve oturum anomalileri için sürekli izleme
- Meşru kimlik doğrulama akışlarını taklit eden sofistike kimlik avı teknikleri hakkında kullanıcı eğitimi
- Her bir kaynak talebini bağımsız olarak doğrulayan sıfır tröst güvenlik mimarileri
MFA bypass teknikleri gelişmeye devam ettikçe, güvenlik stratejileri, kurumsal ortamları hedefleyen bu giderek daha karmaşık tehditleri ele almak için buna göre uyum sağlamalıdır.
SOC ve DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.