Kötü amaçlı yazılım grubu Lapsus$, son ihlallerde güvenliği ihlal edilen sistemlere erişim sağlamak için ihtiyaç duyduğunda, yalnızca parolaları değil, aynı zamanda bir cihazın veya tarayıcının kimliğini doğrulamak için kullanılan oturum belirteçlerini (yani çerezleri) de aradı.
İlk erişim taktikleri, yeraltındaki suçlulardan parola ve tanımlama bilgileri satın alacak ve bunları bulut hizmetlerine ve şirket içi uygulamalara erişmek için kullanan saldırganlar arasındaki bir eğilimi vurgular. Ayrıca, bir sisteme erişim sağladıklarında, saldırganlar daha sonra kullanmak veya satmak için çerezleri çalmaya öncelik verir. CyberArk Labs küresel araştırma misyoneri Andy Thompson, oturum çerezlerinin, saldırganların sistemleri ve bulut hizmetlerini saldırganlardan koruyan çok faktörlü kimlik doğrulama (MFA) mekanizmasını atlamanın yolu haline geldiğini söylüyor.
İçinde Black Hat Ortadoğu ve Afrika’da bir sunum Önümüzdeki hafta CyberArk araştırmacıları, saldırganların oturum tanımlama bilgilerini nasıl çalabileceğini ve ardından bunları iş ve bulut hizmetlerine erişmek için nasıl kullanabileceğini gösterecek.
Thompson, “Çılgın kısım, bunun her tür çok faktörlü için geçerli olmasıdır, çünkü bu çerezleri çalmak hem kimlik doğrulamasını hem de yetkilendirmeyi atlar” diyor. “Çok faktörlü kullanarak kimliğinizi doğruladıktan sonra, bu tanımlama bilgisi uç noktada kurulur ve saldırgan bunu daha sonra erişim için kullanabilir.”
Oturum tanımlama bilgilerini çalmak, saldırganların çok faktörlü kimlik doğrulamasını atlatmasının en yaygın yollarından biri haline geldi. Emotet kötü amaçlı yazılımı, hizmet olarak kötü amaçlı yazılım olan Raccoon Stealer ve RedLine Stealer keylogger’ın tümü, kurbanın sisteminde yüklü olan tarayıcılardan oturum belirteçlerini çalma işlevine sahiptir.
Ağustos ayında, güvenlik yazılımı firması Sophos, popüler kırmızı ekip oluşturma ve saldırı araçları Mimikatz, Metasploit Meterpreter ve Cobalt Strike’ın, firmanın “yeni çevre baypası” olarak adlandırdığı tarayıcıların önbelleklerinden çerezleri toplamak için kullanılabileceğini belirtti. “
Sean Gallagher, “Web hizmetlerine kimlik doğrulaması ile ilişkili tanımlama bilgileri, saldırganlar tarafından, tanımlama bilgisinin orijinal olarak verildiği meşru kullanıcı gibi görünmeye ve oturum açma sorgulaması olmadan Web hizmetlerine erişim sağlamaya çalışan “çerezleri geçme” saldırılarında kullanılabilir,” dedi. Sophos ile bir tehdit araştırmacısı, Ağustos blog yazısında belirtildi. “Bu, parolaları kırmak zorunda kalmadan ağ kaynaklarına erişmek için yerel olarak depolanmış kimlik doğrulama karmalarını kullanan “karma geçiş” saldırılarına benzer.”
Erişimi Sürdürmek İçin Kolay Bir Saldırı
Çerezleri çalmak oldukça basit bir saldırıdır, ancak daha fazla şirket, bir çerez kullanan ve belirli bir tarayıcı ve cihazdaki bir kullanıcının çok faktörlü bir kimlik doğrulamasını yeniden girmek zorunda kalmadan korumalı bir hizmete erişmesine izin vermek için bir çerez kullanan uyarlamalı kimlik doğrulama stratejilerini benimsedikçe önemi artmıştır. kod.
Saldırganlar için, saldırıyı başarılı kılmak için çok az şeye ihtiyaç vardır. CyberArk’tan Thompson, bir makineye erişimleri olduğu sürece çerezleri alabileceklerini söylüyor.
“Çoğu saldırı, yazılım yüklemek için bir tür ayrıcalık yükselmesi gerektirir” diyor. “Bununla, ayrıcalık düzeyinden bağımsız olarak ihtiyacımız olan her şeye sahibiz. Yönetici olmayan bir kişi olarak bile, çerez toplamaya karşı hala savunmasız durumdayız.”
Saldırganlar MFA’yı Gereklilik Haline Göre Üstleniyor
Oturum tanımlama bilgilerini çalmak, saldırganların çok faktörlü kimlik doğrulamasını atlamanın yaygın bir yolu olsa da, başkaları da vardır. Keylogging, birçok şirket tarafından kullanılan tek seferlik şifreyi alarak MFA’yı atlatabilirken, ortadaki bir düşman saldırısı, hem hedeflenen bir hizmete hem de hedeflenen bir hizmetten gönderilen güvenlik bilgilerini yakalayabilir.
Saldırganlar ayrıca arka uç sistemi gerçek kullanıcıya bir kimlik doğrulama isteği göndererek bir hesaba tekrar tekrar erişmeye çalışabilir. MFA bombalaması olarak bilinen tekniğin amacı, kullanıcıyı isteklerle boğmak ve yorgunluktan veya çok az şüphecilikten, erişime izin vermek için tıklamalarını sağlamaktır. Saldırganlar, araç paylaşım devi Uber ve eğlence şirketi Take-Two Interactive’i tehlikeye atmak için çalıntı çerezleri ve MFA bombalama yöntemini kullandı.
CyberArk’tan Thompson, genel olarak, saldırganların MFA’yı atlamasını önlemenin yolunun, çerez hırsızlığını tespit etmek için sistemlerde ek güvenlik yazılımlarına sahip olmak olduğunu söylüyor. Bu nedenle, kullanıcıları yalnızca şifre yöneticilerini ve MFA’yı benimsemeye zorlamak ve bunu yeterli olarak adlandırmak yerine, şirketlerin bir tür uç nokta kontrolünü de benimsemesi gerektiğini söylüyor.
“Ayrıca, bir tür en az ayrıcalık veya uygulama kontrolü, antivirüs veya EDR/XDR’ye sahip olmak için bir yeteneğe ihtiyacımız var – bunlardan herhangi biri boşluğu çözmede gerçekten kritik öneme sahip.” Thompson diyor. “Kötü niyetli araçların ve aktörlerin parolaları veya çerez bilgilerini bellekten toplamasını önlemek istiyoruz.”