Yakın tarihli bir tehdit istihbarat raporu, korsanların saniyeler içinde çeşitli web uygulamalarında kullanıcı oturumlarını kaçırmasına izin veren ortada tarayıcı (BITM) olarak bilinen sofistike bir siber saldırı tekniğinin ortaya çıktığını vurgulamaktadır.
Bu yöntem, kurbanları güvenli bir bağlantı ile etkileşime girdiklerine inanmak için aldatmak için web tarayıcılarının doğal işlevlerinden yararlanırken, gerçekte eylemleri saldırganın makinesinde gerçekleştirilmektedir.
Oturum jetonlarını sömürmek
BITM saldırılar, çok faktörlü kimlik doğrulamayı (MFA) tamamladıktan sonra bir kullanıcının tarayıcısında saklanan hedef oturum jetonlarına saldırır.
Bu jetonlar, kimlik doğrulamalı bir durumu korumak için çok önemlidir, bu da onları rakipler için birincil hedef haline getirir.
Evilginx2 gibi şeffaf proxy’leri kullanmak gibi geleneksel yöntemler önemli özelleştirme gerektirir ve zaman alıcı olabilir.
Buna karşılık, BITM, hackerların herhangi bir web sitesine hızlı bir şekilde ulaşmasına izin veren minimum yapılandırmaya sahip hızlı hedefleme özellikleri sunar.
Savunma Stratejileri
Bu tehditlere karşı koymak için kuruluşların sağlam savunmalar yapmaları tavsiye edilir.
Mantiant, müşteri sertifikalarını ve FIDO2 uyumlu güvenlik anahtarları gibi donanım tabanlı MFA çözümlerini kullanmanızı önerir.
Bu önlemler, saldırganların manipüle edilmesi zor olan kimlik doğrulama öğeleri gerektirerek BITM saldırılarını etkili bir şekilde caydırabilir.
Örneğin, FIDO2 anahtarları, kimlik doğrulama yanıtlarının isteğin kökenine bağlı olmasını sağlar ve saldırganların farklı sitelerde tekrar oynamasını önler.
Bununla birlikte, bu korumalar ancak güvenlik anahtarlarını veya sertifikaları barındıran cihaz bağımsız kalır ve katmanlı bir güvenlik yaklaşımına duyulan ihtiyacı vurgularsa etkilidir.
Maniant tarafından yanılsama gibi iç aletlerin geliştirilmesi, BITM saldırılarının potansiyel ölçeğini gösterir.
Sanrus, operatörlerin kimlik doğrulama protokolleri hakkında önceden bilgi sahibi olmadan uygulamaları hedeflemelerine olanak tanır ve oturum çalma saldırılarını daha erişilebilir hale getirir.
Mantiant, silahlanma endişeleri nedeniyle yanılsama yayınlamamayı seçerken, bu tür tehditlere karşı savunmaları test etmek için EvilNovnc ve Cuddlephish gibi açık kaynaklı alternatifler mevcuttur.
Bitm saldırıları gelişmeye devam ettikçe, kuruluşlar hassas verileri ve ağları korumak için sağlam kimlik doğrulama ve erişim kontrol mekanizmalarına öncelik vermelidir.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.