Hacker’ların çok faktörlü kimlik doğrulamasını (MFA) atlamasını ve sadece saniyeler içinde kullanıcı oturumlarını çalmasını sağlayan, orta-orta-orta tarayıcı (BITM) olarak bilinen sofistike bir siber saldırı tekniği ortaya çıktı.
Bu yöntem, geleneksel güvenlik önlemlerine dayanan kuruluşlar için önemli bir tehdit oluşturarak, kimlik doğrulamalı oturumları ele geçirmek için Web tarayıcı işlevlerinden yararlanır.
Bitm saldırıları, saldırgan kontrollü bir tarayıcı aracılığıyla kurbanları yönlendirerek meşru tarama deneyimlerini taklit eder. Bir kullanıcı kötü amaçlı bir web sitesini ziyaret ettiğinde veya bir kimlik avı bağlantısını izlediğinde, etkileşimleri saldırganın sunucusunda barındırılan proxed bir tarayıcı aracılığıyla işlenir.
Bu tarayıcı, meşru sitenin görünümünü yansıtıyor, kurbanları kimlik bilgilerine girmeye ve MFA zorluklarını tamamlıyor. Kimlik doğrulandıktan sonra, saldırgan tarayıcıda depolanan oturum jetonunu yakalar ve kullanıcının kimlik doğrulaması durumunu etkili bir şekilde çalır.
BITM’nin temel bileşenleri:
- Şeffaf vekiller: Evilginx2 veya Delusion (Mantiant’ın dahili aracı) gibi araçlar, kurban ve hedef hizmet arasında aracılar olarak hareket eder. Bu proxy’ler, Oturum jeton çıkarma işlemini sağlayarak, meşru alanları kimlik avı alanları ile değiştirmek için HTTP yanıtlarını değiştirir.
- Hızlı dağıtım: Kapsamlı özelleştirme gerektiren geleneksel şeffaf vekillerin aksine, Delusion gibi BITM çerçeveleri operatörlerin herhangi bir web sitesini hızlı bir şekilde hedeflemesine izin verir. Firefox profil depolama ve otomatik yük dengeleme gibi özellikler büyük ölçekli kimlik avı kampanyalarını basitleştirir.
- Gerçek Zamanlı İzleme: Saldırganlar, mağdur etkileşimlerini gerçek zamanlı olarak gözlemleyerek başarılı kimlik doğrulaması üzerine derhal oturum hırsızlığı sağlayabilir.
Bitm saldırıları özellikle tehlikelidir, çünkü birçok kuruluşun son savunma hatlarını düşündüğü MFA’yı atlarlar. Google, oturum jetonlarını yakalayarak, saldırganların kurbanın kimlik bilgilerine tekrar ihtiyaç duymadan hesaplara sürekli erişim sağladığını söyledi.
Bu yöntem, sanal masaüstü altyapısı (VDI) veya bulut hizmetlerini kullanan uygulamalara karşı etkilidir, burada oturum kaçırma ayrıcalıklı ağlara erişim sağlayabilir.
- Kurumsal Güvenlik Riskleri: BITM, veri ihlallerine, fikri mülkiyet hırsızlığına veya eksiksiz aktif dizin devralmalarına yol açabilir. Kırmızı ekipler genellikle bu teknikleri organizasyonel savunmaları test etmek için kullanır ve MFA güvenindeki güvenlik açıklarını vurgular.
- Hız ve ölçeklenebilirlik: Delusion’ın kapları ölçeklendirme ve kampanyaları etiketleme yeteneği gibi Bitm araçlarını dağıtma kolaylığı, yaygın saldırılar mümkün kılar. Mağdurlar uzlaşmayı çok geç olana kadar fark etmeyebilirler.
Hiçbir sistem tamamen aşılmaz olmasa da, kuruluşlar katmanlı güvenlik yoluyla bitm risklerini azaltabilir:
- Donanım tabanlı MFA (FIDO2): Yubikey veya Google Titan gibi güvenlik anahtarları, belirli alanlara bağlı şifreleme zorluklarını zorlar. Saldırganlar, FIDO2 yanıtlarını farklı web sitelerinde tekrarlayamaz ve bitm saldırılarını durduramazlar.
- Müşteri Sertifikaları: Cihaza özgü sertifikalara bağlama kimlik doğrulaması yetkisiz cihazlarda oturumun yeniden kullanılmasını önler. Bu yöntem FIDO2’yi token hackingini engellemek için tamamlar1.
- Davranışsal İzleme: Olağandışı giriş kalıplarını veya tarayıcı parmak izi tutarsızlıklarını tespit eden araçlar potansiyel Bitm uzlaşmalarını işaretleyebilir.
- Güvenlik Bilinçlendirme Eğitimi: Kullanıcıları kimlik avı denemelerini tanımaları için eğitmek (örn. Şüpheli URL’ler veya istenmeyen kimlik doğrulama istekleri) Kritik olmaya devam etmektedir1.
BITM, geleneksel güvenlik önlemlerinden kaçınmak için tarayıcı işlevlerini kullanarak siber tehditlerde büyük bir değişim anlamına gelir. Bu saldırının hızı ve etkinliği, küresel olarak güvenlik ekiplerinden acil dikkat gerektirir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.