Saldırganlar belgelenmemiş bir Google’dan yararlanıyor OAuth kullanıcı oturumlarını ele geçirmek ve şifre sıfırlandıktan sonra bile Google hizmetlerine sürekli erişime izin vermek için uç nokta.
“Prisma” adlı bir tehdit aktörü, “belirteç manipülasyonu yoluyla kalıcı Google çerezlerinin oluşturulmasına olanak sağlayan” kritik istismarı ortaya çıkardı. yeni bir blog yazısı CloudSEK tehdit istihbaratı araştırmacısı Pavan Karthick M tarafından.
Öne çıkan bilgi hırsızları Lumma Ve Rhadamanthys Lumma’nın arkasındaki tehdit aktörünün komut dosyasında tersine mühendislik yapması ve gelişmiş kara kutulama teknikleriyle metodolojiyi geliştirmesinin ardından, bu özelliği kötü amaçlı yazılımlarına entegre ettiler.
Karthick M, “Bu, benzersiz özelliklerle aynı seviyede kalabilmek için çeşitli kötü amaçlı yazılım grupları arasında hızla yayılan istismar nedeniyle bir dalgalanma etkisinin başlangıcını işaret ediyordu” diye yazdı.
CloudSEK araştırmacıları sıfır gün istismarını Ekim ayında Prisma’nın Telegram kanalında Google hesap oturumlarındaki tipik güvenlik önlemlerini atlamanın bir yolunu açıklayan bir duyuru yapmasıyla öğrendi.
Yöntemin iki temel özelliği vardır: Bir kullanıcının Google oturumu, hesap şifresi değiştirilse bile geçerli kalır; böylece Gmail’e ve diğer hesaplara sürekli erişim sağlanır; Karthick M, ayrıca, bir oturumun kesintiye uğraması durumunda birisinin geçerli çerezler oluşturabileceğini ve böylece “saldırganın yetkisiz erişimi sürdürme becerisini” geliştirebileceğini yazdı.
İronik bir şekilde, CloudSEK’in tehdit araştırma ekibi, Prisma’nın kendisiyle (ve açıklardan yararlanan gömülü kötü amaçlı yazılıma yönelik kendi tersine mühendisliğiyle) işbirliği yaparak, açıktan yararlanmanın kökenini “MultiLogin” adlı belgelenmemiş bir Google Oauth uç noktasında tespit etti.
OAuth Siber Riski ve Ödül Karşılaştırması
OAuth, platformlar arası erişim için 2007’den beri kullanılan açık bir kimlik doğrulama standardıdır. Web sitelerinde kullanılan “Google ile Giriş Yap” işlevi buna bir örnektir. OAuth, uygulamaların bir kullanıcı tarafından belirlenen izinlere dayalı olarak diğer güvenilir çevrimiçi hizmetlere ve sitelere ait verilere ve kaynaklara erişmesine olanak tanır ve siteler arasındaki kimlik doğrulama aktarımından sorumlu mekanizmadır.
Standart kesinlikle faydalı olsa da, doğru şekilde uygulanmadığı takdirde kuruluşlar için de risk oluşturur ve saldırganların savunmasız örnekleri ve standardın kendisini kötüye kullanabileceği çeşitli yollar vardır. Örneğin, güvenlik araştırmacıları bulunan kusurlar gibi önemli çevrimiçi hizmet platformlarını açığa çıkaran uygulamasında Booking.com Ve diğerleri saldırmak. Bu arada başkaları da kendi oluşturdukları kötü amaçlı OAuth uygulamalarını kullandı Microsoft Exchange sunucularını tehlikeye atmak.
CloudSEK’e göre, Google uç noktası durumunda, Prisma tarafından keşfedilen OAuth istismarı, oturum açmış Chrome profillerinin belirteçlerini ve hesap kimliklerini çıkarmak için Google Chrome’un token_service tablosunu hedef alıyor. Karthick M, bu tablonun “hizmet (GAIA Kimliği)” ve “encrypted_token” başlıklı iki “önemli” sütun içerdiğini açıkladı.
“Şifrelenmiş belirteçlerin şifresi, şifreleri depolamak için kullanılan şifrelemeye benzer şekilde, UserData dizini içindeki Chrome’un Yerel Durumunda saklanan bir şifreleme anahtarı kullanılarak çözülür” diye yazdı.
CloudSEK, MultiLogin uç noktasını hizmetler arasında Google hesaplarını senkronize etmek için tasarlanmış dahili bir mekanizma olarak tanımlamak için Chromium’un kaynak kodunu kullandı ve tarayıcı hesabı durumlarının Google’ın kimlik doğrulama çerezleriyle uyumlu olmasını sağlayarak tutarlı bir kullanıcı deneyimi kolaylaştırdı.
Karthick M, “Bu uç nokta, eş zamanlı oturumları yönetmek veya kullanıcı profilleri arasında sorunsuz bir şekilde geçiş yapmak için gerekli olan veriler olan hesap kimlikleri ve kimlik doğrulama jetonlarından oluşan bir vektörü kabul ederek çalışıyor” diye yazdı. Bu şekilde, hesap kimlikleri ve kimlik doğrulama giriş belirteçlerinin vektörlerini kabul eden Google’ın OAuth sisteminin kritik bir parçası olduğunu açıkladı.
MultiLogin’in kötüye kullanılması
MultiLogin’in “kullanıcı kimlik doğrulamasındaki hayati rolü”, hesaplar arası iletişimin yanlış yönetilmesi durumunda kötüye kullanılabilir. CloudSEK, bu kötüye kullanımın nasıl çalıştığına ışık tutmak için, bu istismarı kullanmak için bir teknik geliştiren ilk bilgi hırsızı olan Lumma’nın yaklaşımını analiz etti.
Karthick M, “Lumma’nın yaklaşımı, Google’ın kimlik doğrulama sürecinde kritik bir bileşen olan token:GAIA ID çiftinin incelikli bir şekilde manipülasyonuna dayanıyor.” diye açıkladı.
Bu çift, MultiLogin uç noktasıyla birlikte kullanıldığında Google hizmet çerezlerinin yeniden oluşturulmasını sağlar. Ancak Lumma, bu token:GAIA ID çiftini özel özel anahtarlarla şifreledi; bu, yararlanma sürecini etkili bir şekilde “kara kutuya” alarak temel mekanizmaları gizli tuttu.
Bu kara kutulama muhtemelen iki amaca hizmet etmek için yapıldı: istismarın temel mekanizmasını maskeleyerek diğer tehdit aktörlerinin kopyalamasını zorlaştırıyor. CloudSEK’e göre, standart güvenlik protokolleri şifrelenmiş trafiği meşru sanarak gözden kaçırma eğiliminde olduğundan, ağ güvenlik sistemlerinde alarm tetikleme olasılığı da daha düşük.
CloudSEK, sonuçta token:GAIA kimlik çiftinin manipüle edilmesinin, Lumma’nın Google hizmetleri için çerezleri sürekli olarak yeniden oluşturmasına olanak sağladığını ve bu istismarın, kullanıcılar şifrelerini sıfırladıktan sonra bile etkili olmaya devam ettiğini tespit etti. Karthick M, “Erişimdeki bu ısrar, kullanıcı hesaplarının ve verilerinin uzun süreli ve potansiyel olarak fark edilmeden kullanılmasına olanak tanıyor” diye yazdı.
Dahası, Lumma’nın Google’ın çerez yenilemeye ilişkin IP tabanlı kısıtlamalarını aşmak için SOCKS proxy’lerinin kullanılmasını sağlayan açıktan yararlanmayı daha sonra uyarlaması, yanlışlıkla tekniklerinin bazı ayrıntılarını açığa çıkardı. Bu, CloudSEK’e göre Rhadamanthys, Risepro, Meduza, Stealc Stealer ve son olarak 26 Aralık’ta White Snake’in de aralarında bulunduğu diğer bilgi hırsızlarının bu istismarı benimsemelerinin yolunu açtı.
Büyüyen Siber Saldırgan Gelişmişliği Yanıt Talep Ediyor
Sonuçta Lumma tehdit aktörlerinin açıktan yararlanmanın temel bileşenini şifreleme yönündeki taktiksel kararı, CloudSEK’e göre siber tehditlerin artan gizlilik ve karmaşık doğasını gösteriyor; bu davranış, savunucuların da oyunlarını hızlandırmasını gerektiriyor.
Karthick M, “Bu, kötü amaçlı yazılım geliştirme ortamında, istismar metodolojilerinin gizlenmesi ve korunmasının yanı sıra, istismarların etkinliğinin de giderek daha fazla vurgulandığı bir değişime işaret ediyor” diye yazdı.
Karthick M, bu gelişmiş davranışın, kuruluşların ortaya çıkan siber tehditlerin önünde kalabilmek için hem teknik güvenlik açıklarını hem de insan istihbarat kaynaklarını sürekli izleme ihtiyacının altını çizdiğini yazdı, çünkü her ikisi arasındaki işbirliği “karmaşık istismarların ortaya çıkarılması ve anlaşılması açısından çok önemlidir. “