Ortadak (AITM) saldırıları, modern siber güvenlik manzarasındaki en sofistike ve tehlikeli kimlik avı teknikleri arasındadır.
Sadece statik kimlik bilgilerini toplayan geleneksel kimlik avı saldırılarının aksine, AITM saldırıları kullanıcılar ve meşru hizmetler arasındaki iletişimi gerçek zamanlı olarak aktif olarak keser ve manipüle eder, saldırganların çok faktörlü kimlik doğrulamasını (MFA) atlamalarını ve uç nokta tespiti ve yanıt (EDR) sistemlerinden kaçmasını sağlar.
Bu saldırılar, organizasyonlar giderek daha fazla MFA korumalarını benimsedikçe popülerlik kazandı ve Microsoft, AITM kimlik avı kampanyalarının küresel olarak 10.000’den fazla kuruluşu hedeflediğini bildirdi.
Tycoon 2FA ve Evilginx2 gibi hizmet olarak kimlik avı (PHAAS) platformlarının ortaya çıkması, bu saldırıları sanayileştir, siber suçlular için teknik engelleri düşürmüş ve sofistike AITM yeteneklerini sadece 120 $ ‘dan başlayan abonelik modelleri aracılığıyla erişilebilir hale getirmiştir.
AITM saldırılarına giriş
Ortadaki düşman saldırılar, aktif manipülasyonları ve kimlik doğrulama süreçlerinin sofistike düzenlenmesi yoluyla ortadaki geleneksel insan (MITM) saldırılarından temel olarak farklılık gösterir.
Geleneksel MITM saldırıları genellikle pasif gizlice dinlemeye odaklanırken, AITM saldırıları, kesintisiz, gerçek zamanlı iletişim kanalları oluşturmak için ters proxy sunucuları kullanarak kendilerini mağdurlar ve meşru hizmetler arasında aktif aracılar olarak konumlandıran saldırganları içerir.
AITM saldırılarının teknik temeli, saldırganların mağdurlar ve meşru kimlik doğrulama portalları arasında aracı olarak hareket eden sunucuları kullandığı ters proxy mimarisine dayanmaktadır.
Bu yaklaşım, saldırganların kullanıcılara, kötü niyetli proxy aracılığıyla sunulan meşru sayfalar olan otantik görünümlü oturum açma sayfaları sunmalarını sağlar ve algılamayı son derece zorlaştırır.
Modern AITM araç seti, gerçek zamanlı çift yönlü iletişim için WebSocket bağlantıları, Let’s Şifreleme gibi hizmetler aracılığıyla otomatik SSL sertifika üretimi ve tespitten kaçınmak için tokenize URL’leri kullanarak gelişmiş gizleme mekanizmalarından yararlanır.
Bir kurban Microsoft 365 veya Gmail gibi bir hizmete erişmeye çalıştığında, AITM proxy talebi keser, meşru hizmete iletir, yanıtı yakalar ve aynı zamanda Transit’teki tüm kimlik doğrulama verilerini hasat ederken kurbana geri akar.
En önemli açık kaynaklı AITM çerçeveleri, her biri kimlik bilgisi hasadı ve oturum kaçırma için benzersiz yetenekler sunan Evilginx2, Muraena ve Modlishka’yı içerir.
Bu araçlar, çok alanlı barındırma, özel markalaşma entegrasyonu ve onları modern güvenlik önlemlerine karşı özellikle etkili hale getiren gelişmiş kaçış teknikleri gibi özellikleri içerecek şekilde gelişmiştir.
MFA’nın modern güvenlikte rolü
Çok faktörlü kimlik doğrulaması, modern siber güvenlik stratejilerinin temel taşı haline geldi ve Microsoft saniyede 7.000’den fazla şifre saldırısını engelledi ve yıllık% 75’lik bir artışı temsil etti.
MFA uygulamaları genellikle kullanıcıların bildikleri bir şey (şifre), sahip oldukları bir şey (mobil cihaz veya donanım jetonu) veya oldukları bir şey (biyometrik veriler) sağlamalarını gerektirir.
Geleneksel MFA yöntemleri arasında SMS kodları, push bildirimleri, zaman tabanlı tek seferlik şifreler (TOTP) ve donanım güvenlik anahtarları oluşturan kimlik doğrulayıcı uygulamaları bulunur.
| MFA yöntemi | Kimlik doğrulama faktörü | Evlat edinme oranı | AITM güvenlik açığı | Geleneksel güvenlik seviyesi | Ortak Baypas Yöntemleri |
|---|---|---|---|---|---|
| SMS Kodları (SMS OTP) | Sahip olduğun bir şey | Yüksek (%60+) | Yüksek – kolayca ele geçirilebilir | Düşük | Sim Switing, SS7 Saldırıları |
| Push Bildirimleri | Sahip olduğun bir şey | Yüksek (%50+) | Yüksek-Jetonlar Auth sonrası çalındı | Orta | Push yorgunluğu, cihaz uzlaşması |
| Authenticator uygulamaları (TOTP) | Sahip olduğun bir şey | Orta (%35+) | Yüksek kodlar gerçek zamanlı olarak aktarıldı | Yüksek | Cihaz uzlaşması, kimlik avı |
| Donanım Güvenlik Anahtarları (FIDO2) | Sahip olduğun bir şey | Düşük (%15+) | Orta – Oturum belirteçleri hala çalındı | Çok yüksek | Oturum Token Hırsızlığı (Yalnızca AITM) |
| Sesli çağrılar | Sahip olduğun bir şey | Orta (%25+) | Yüksek kodlar yakalandı | Düşük | Ses kimlik avı, çağrı yönlendirme |
| E -posta OTP | Sahip olduğun bir şey | Orta (%30+) | Yüksek – kolayca ele geçirilebilir | Düşük orta | E -posta Uzlaşma, Kimlik avı |
| Biyometrik kimlik doğrulama | Bir şey olduğun bir şey | Büyüyen (%20+) | Orta – Oturum belirteçleri çalındı | Çok yüksek | Oturum token hırsızlığı |
| Sertifika Tabanlı Kimlik Doğrulama | Sahip olduğun bir şey | Düşük (%10+) | Orta – Sertifikalar baypas | Çok yüksek | Oturum jetonu hırsızlığı, sertifika hırsızlığı |
MFA’nın güvenlik modeli, birden fazla kimlik doğrulama faktörünü aynı anda tehlikeye atmanın, tek bir şifreyi atlamaktan önemli ölçüde daha zor olduğu varsayımına dayanmaktadır.
Bununla birlikte, bu varsayım, bireysel faktörlerden ödün vermesi gerekmeyen, bunun yerine başarılı kimlik doğrulamasından sonra kurulan güven ilişkisinden yararlanan AITM saldırıları karşısında bozulur.
Kullanıcılar bir AITM vekili aracılığıyla MFA mücadelesini tamamladıklarında, bilmeden saldırganlara hem kimlik bilgilerini hem de meşru hizmet tarafından verilen oturum belirteçlerini sunarlar.
AITM Saldırısı MFA ve EDR’yi nasıl atar?
AITM saldırılarındaki MFA bypass mekanizması, kimlik doğrulama faktörü uzlaşmasından ziyade oturum jeton hırsızlığı yoluyla çalışır. Mağdurlar bir AITM kimlik avı sayfasıyla etkileşime girdiğinde, MFA zorlukları da dahil olmak üzere tüm kimlik doğrulama sürecini tamamlarlar, ancak tüm iletişim saldırganın proxy sunucusundan geçer.
Proxy, kullanıcının kimlik bilgilerini ve MFA yanıtlarını meşru hizmete iletir, bu da daha sonra oturum çerezleri ve kimlik doğrulama jetonlarını proxy boyunca geri verir.
Saldırgan, kimlik doğrulamanın başarılı bir şekilde tamamlanmasına izin verirken bu jetonları yakalar ve mağdurun saldırgan hesaplarına kalıcı erişim elde ederken güvenli bir şekilde giriş yaptıklarına inandığı bir senaryo oluşturur.
Oturum jetonları, özellikle Microsoft ortamlarında birincil yenileme jetonları (PRT’ler), aktif tutulursa 30 gün veya daha fazla süren genişletilmiş erişim sağlayabilir.
Bu jetonlar, başarılı kimlik doğrulamanın şifreleme kanıtı içerir ve ek MFA zorluklarını tetiklemeden hesaplara erişmek için saldırganlar tarafından tekrarlanabilir.
Tycoon 2FA gibi modern AITM kitlerinin sofistike olması, oturum jeton yönetimi, otomatik jeton yenilemesi ve saldırganların şifre değişikliklerinden sonra bile erişimi sürdürmesine izin veren kalıcılık mekanizmaları için özellikler içerir.
AITM saldırılarında EDR kaçırma, uç nokta izlemedeki temel sınırlamaları kullanan çeşitli mekanizmalar yoluyla gerçekleşir. Geleneksel EDR çözümleri, uç noktadan kaynaklanan kötü amaçlı işlemleri, dosya değişikliklerini ve ağ bağlantılarını tespit etmeye odaklanır.
Bununla birlikte, AITM saldırıları öncelikle, kötü niyetli proxy’nin kurbanın bitiş noktasından bağımsız olarak çalıştığı sunucu tarafı meydana gelir. Mağdurun cihazı yalnızca otantik alanlara meşru web trafiği gibi görünen şeyle etkileşime girerek, kötü amaçlı etkinliği uç nokta tabanlı algılama sistemleri için görünmez hale getirir.
Gelişmiş AITM kampanyaları, Base64 kodlama, her bir yürütme ile imzaları değiştiren dinamik kod üretimi ve otomatik analizi hayal kırıklığına uğratmak için tasarlanmış anti-tahripleme mekanizmaları kullanılarak kod gizlemesi de dahil olmak üzere sofistike kaçırma teknikleri kullanır.
Bu teknikler özellikle EDR sistemlerinin statik ve davranışsal analiz yeteneklerini hedeflemektedir. Buna ek olarak, saldırganlar kodesandbox, aksaklık ve kavram gibi meşru hizmetleri yönlendirme mekanizmaları olarak kötüye kullanırlar, bu alanların URL filtreleme ve itibar tabanlı engellemeyi atlamak için güvenlik sistemlerine olan güvenini kullanırlar.
AITM saldırıları genellikle standart Web protokollerine ve meşru kimlik doğrulama akışlarına dayandığı için, karaya oturma tekniklerinin kullanımı EDR algılamasını daha da karmaşıklaştırır.
Saldırganlar ayrıca EDR ajanlarının bulut altyapılarıyla iletişim kurmasını önlemek ve güvenlik çözümünü devam eden kötü amaçlı etkinliklere etkili bir şekilde kör etmek için Windows Filtreleme Platformu (WFP) gibi araçları kullanarak EDR iletişim engelleme tekniklerini uygulayabilir.
AITM saldırılarının göstergeleri
Kimlik doğrulama günlük analizi, AITM aktivitesinin birkaç temel göstergesini ortaya çıkarır ve imkansız seyahat en güvenilir sinyaller arasında yer alır. Saldırganlar çalıntı oturum jetonlarını kullandıklarında, genellikle meşru kullanıcının gözlemlenen zaman dilimine ulaşması imkansız olan coğrafi konumlardan kimlik doğrulaması yaparlar.
Microsoft’un gecikmeli günlüğe kaydetmesi bu analizi karmaşıklaştırabilir, çünkü bazı kimlik doğrulama olaylarının denetim günlüklerinde görünmesi 20 saate kadar sürebilir ve bu da gerçek zamanlı algılamayı zorlaştırır.
Özellikle başarılı MFA tamamlanmasının eşlik ettiği zaman, kısa zaman dilimleri içindeki farklı konumlardan çoklu hızlı imzalar genellikle oturum jeton tekrarlama saldırılarını gösterir.
| Kategori | Gösterge | Tanım | Mitre_att & ck |
|---|---|---|---|
| Kimlik Doğrulama Günlükleri | İmkansız seyahat | Kısa zaman dilimlerinde coğrafi olarak imkansız konumlardan kullanıcı kimlik doğrulaması | T1078.004 |
| Kimlik Doğrulama Günlükleri | Birden çok hızlı tabela | Hızlı art arda farklı yerlerden çoklu başarılı kimlik doğrulaması | T1078.004 |
| Kimlik Doğrulama Günlükleri | Oturum Jeton Anomalileri | Parola girişi olmadan kimlik doğrulama veya günlüklerde MFA istemleri | T1078.004 |
| Ağ Göstergeleri | Bilinmeyen IP adresleri | Daha önce görünmeyen IP adreslerinden veya şüpheli ASNS’den imzalar | T1557 |
| Ağ Göstergeleri | Şüpheli alanlar | Meşru hizmetleri veya şüpheli TLD’leri taklit eden alanlara bağlantılar | T1557 |
| Kullanıcı davranışı | Posta Kutusu Kural Oluşturma | Özellikle rastgele adlarla e -postaları gizlemek veya yönlendirmek için gelen kutusu kurallarının oluşturulması | T1564.008 |
| Kullanıcı davranışı | E -posta yönlendirme kuralları | E -postaları harici adreslere yönlendiren yeni yönlendirme kuralları | T1114.003 |
| E -posta Göstergeleri | Kimlik avı e -posta desenleri | Şüpheli bağlantılara veya acil dil içeren güvenilir gönderenlerden e -postalar | T1566.002 |
| E -posta Göstergeleri | Meşru hizmet kötüye kullanımı | Codesandbox, aksaklık veya yeniden yönlendirme kavramı gibi meşru hizmetlerin kötüye kullanılması | T1566.002 |
| Teknik eserler | Ters proxy eserleri | WebSocket bağlantıları, belirli HTTP başlıkları veya proxy ile ilgili ağ imzaları | T1557 |
Basit kimlik bilgisi hasatından sofistike, hizmet odaklı saldırı platformlarına AITM saldırılarının evrimi, tehdit ortamında eşit derecede sofistike savunma stratejileri gerektiren temel bir değişimi temsil eder.
Kuruluşlar, geleneksel çevre savunmalarının ve hatta MFA’nın bu gelişmiş kalıcı tehditlere karşı yetersiz olduğunu kabul etmeli ve bu büyüyen tehdidi etkili bir şekilde karşı koymak için davranışsal analitik, oturum token koruması ve sürekli kimlik doğrulama mekanizmalarını içeren kapsamlı güvenlik mimarilerini gerektirmelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.