Çok faktörlü kimlik doğrulama (MFA) uzun zamandır kimlik avı saldırılarına karşı sağlam bir güvenlik önlemi olarak lanse edildi, ancak sofistike tehdit aktörleri bu korumaları atlatmak için yeni teknikler geliştirdi.
Siber suçluların, ters vekiller yoluyla uygulanan ortadaki düşman (AITM) saldırıları yoluyla MFA’yı başarılı bir şekilde atladığı ve geleneksel MFA çözümlerini etkili bir şekilde savunmasız hale getirdiği bir eğilim ortaya çıkmıştır.
Bu saldırılar kimlik avı taktiklerinde önemli bir evrimi temsil eder.
.png
)
Saldırganlar, sadece kimlik bilgilerini toplamak için sahte açılış sayfaları oluşturmak yerine, kendilerini kurbanlar ve meşru web siteleri arasında konumlandırıyorlar, hem girişli kimlik bilgilerini hem de başarılı MFA tamamlandıktan sonra üretilen kimlik doğrulama çerezlerini ele geçiriyorlar.
Bu sofistike yaklaşım, saldırganların MFA güvenlik önlemlerinin varlığına rağmen korunan hesaplara tam erişim elde etmelerini sağlar.
Cisco Talos araştırmacıları, hizmet olarak kimlik avı (PHAAS) araç setlerinin çoğalmasının, bu saldırıların yürütülmesi için teknik engeli önemli ölçüde düşürdüğünü belirledi.
Tycoon 2FA, Rockstar 2FA ve EvilProxy gibi ürünler, teknik olarak sofistike olmayan tehdit aktörlerinin bile, altta yatan mekanizmaların minimum çaba veya anlayışıyla karmaşık MFA bypass operasyonlarını yapmalarını sağlayan anahtar teslim çözümler sunar.
Bu saldırıların etkisi, geleneksel itme bildirimi veya kod tabanlı MFA sistemleri uygulayanlar arasında belirli bir güvenlik açığı ile her büyüklükteki kuruluşa uzanmaktadır.
Uzaktan ödün verildikten sonra, saldırganlar, kurbanların hesaplarına kendi MFA cihazlarını ekleyerek sık sık kalıcılık oluşturur ve orijinal kimlik bilgileri değişse bile uzun vadeli erişimi sürdürürler.
AITM Ters Proxy Saldırıları Nasıl Çalışır?
Bir AITM saldırısının teknik uygulaması, kimlik doğrulama iş akışından yararlanan belirli bir diziyi takip eder.
Bir kurban kimlik avı e -postası aldığında ve kötü amaçlı bir bağlantıyı tıkladığında, meşru site yerine saldırganın ters proxy sunucusuna yönlendirilir.
.webp)
Proxy daha sonra bağlantıyı gerçek web sitesine ileterek kurban için otantik bir deneyim yaratır.
# Example Evilginx configuration snippet
phishlets:
microsoft:
hostname: login.microsoft.com
path: "/common/oauth2/authorize"
redirect_url: "https://office.com/"
credentials:
username:
field: "login"
search: "name="loginfmt""
password:
field: "password"
search: "name="passwd""Saldırı birkaç aşamadan geçiyor: Birincisi, kurban, saldırganın ters vekilden geçerken yakaladığı kullanıcı adlarını ve şifrelerini gönderiyor.
Saldırgan daha sonra bu kimlik bilgilerini meşru siteye aktararak kurbana gerçek bir MFA talebini tetikler. Onay üzerine, meşru site, saldırganın vekaletnamesi aracılığıyla bir kimlik doğrulama çerezi gönderir.
Saldırgan şimdi hem giriş kimlik bilgilerine hem de geçerli bir kimlik doğrulama belirtecine sahiptir ve MFA korumasını etkili bir şekilde atlamaktadır.
Güvenlik uzmanları, kuruluşların WebAuthn’u alternatif bir MFA çözümü olarak değerlendirmelerini önermektedir.
Bu yaklaşım, genel anahtar kriptografisini kullanır ve kimlik bilgilerini belirli web sitesi kökenlerine bağlar ve bu proxy tabanlı müdahale tekniklerine dirençli hale gelir.
Are you from the SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.