روشی بی سروصدا برای دور زدن احراز هویت چندعاملی

محققان امنیتی هشدار داده‌اند که مهاجمان به صورت فزاینده‌ای از نوعی از “بسته‌های نرم‌افزاری فیشینگ” (Phishing Kit) موسوم به Transparent Reverse Proxy Kits برای دور زدن روش “احراز هویت چندعاملی” (Multi-Factor Authentication – به اختصار MFA) استفاده می‌کنند. آنها تکنیک‌هایی همچون “مرد میانی” (Man-in-The-Middle – به اختصار MiTM) را جهت سرقت اطلاعات اصالت‌سنجی در MFA بکار می‌گیرند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده ابزار‌های مذکور مورد بررسی قرار گرفته است.

از آنجایی که نظرسنجی‌های اخیر پذیرش 78 درصدی کاربران و کسب‌وکارها را از روش MFA در سال 2021 نشان می‌دهد، مجرمان سایبری نیز به سرعت در حال بکارگیری ابزار‌های فیشینگ جهت دورزدن MFA هستند. این ابزارهای مخرب به سرعت در حال توسعه هستند؛ از بسته‌های نرم‌افزاری منبع باز ساده و بی‌زرق و برق‌ گرفته که در دسترس عموم هستند تا بسته‌های پیچیده که دارای لایه‌های متعدد مخفی‌سازی و ماژول‌های جانبی مختلف جهت سرقت نام‌های کاربری، رمزهای عبور، اطلاعات اصالت‌سنجی MFA، شماره‌های ملی افراد و شماره‌های کارت اعتباری.

یکی از روش‌های این ابزارهای فیشینگ که به طور ویژه مورد توجه محققان قرار گرفته، استفاده آنها از پروکسی‌های موسوم به Transparent Reverse Proxy – به اختصار TPR – است که مهاجمان را قادر می‌سازد تا به عملیات و اطلاعات کاربر در زمان کار با مرورگر دسترسی داشته باشند. این رویکرد MiTM به مهاجمان اجازه می‌دهد ضمن مخفی ماندن، هنگام وارد کردن یا نمایش اطلاعات روی صفحه نمایش، اطلاعات را جمع‌آوری کنند.

این شیوه، تغییر روندی بزرگ نسبت به روش‌های فیشینگ سنتی است که در آن مهاجمان جهت سرقت اطلاعات اصالت‌سنجی، سایت‌هایی جعلی ایجاد می‌نمودند. به عنوان مثال، اقدام به جعل صفحه ورود (Log-in Page) سیستم واقعی Windows می‌کردند تا قربانیان خود را فریب داده و کاربران رمزهای عبور خود را در آن صفحات جعلی وارد کنند. البته در رویکرد سنتی امکان خطا و اشتباه زیاد بود. مواردی همچون استفاده از علایم تجاری قدیمی شرکتها، اشتباهات املایی و انشایی، باعث لو رفتن و شناسایی شدن سایت‌ها و صفحات جعلی می‌شد.

این در حالی است که نتایج  تحلیل محققان نشان می‌دهد که ابزارهای TPR، سایت واقعی را به قربانی نشان می‌دهند. صفحات سایت واقعی، مدرن و پویا بوده و مرتباً در حال تغییر می‌باشند. بنابراین، ارائه سایت واقعی به جای نسخه جعلی آن، موجب فریب افراد شده و کاربر با خیال راحت وارد سایت شود. در همین حال، مهاجمان با سرقت فایل‌های کوکی‌ (cookies)، قادر خواهند بود بدون نیاز به نام کاربری، رمز عبور و یا اطلاعات اصالت‌‌سنجی MFA، به حساب کاربری مورد نظر دسترسی یابند.

نتایج تحقیقات محققان نشان می‌دهد که اخیراً به طور خاص بکارگیری سه ابزار فیشینگ که از روش TRP استفاده می کنند، افزایش یافته است.

Modliska

Modliska توسط یک محقق امنیتی لهستانی تهیه و از اواخر سال 2018 منتشر شده است. محققان اعلام نمودند که این ابزار ساده به کاربران امکان می‌دهد در هر زمان فقط اطلاعات اصالت‌سنجی مربوط به یک سایت را سرقت کنند. این ابزار یک واسط خط فرمان (Command Line Interface) دارد و از یک رابط کاربری گرافیکی برای سرقت اطلاعات کاربری و اطلاعات سایت‌های در حال استفاده کاربر، بهره می‌برد.  

Muraena/Necrobrowser

Muraena/Necrobrowser ابزاری است که برای اولین بار در سال 2019 منتشر شد و از دو بخش تشکیل شده است. در بخش اول، Muraena در سمت سرور اجرا می‌شود و از یک برنامه پویشگر (crawler) برای پویش سایت مورد نظر استفاده می‌کند تا مطمئن شود که آیا به درستی می‌تواند تمام ترافیک مورد نیاز را بازنویسی کند به گونه‌ای که قربانی متوجه نشود. این ابزار، اطلاعات اصالت‌سنجی قربانی و اطلاعات فایل کوکی مرورگر را جمع آوری نموده و سپس در بخش دوم،  Necrobrowser را نصب می‌کند.

Necrobrowser یک مرورگر فاقد سربرگ (Headless Browser) می‌باشد یعنی یک مرورگری بدون رابط کاربری گرافیکی که برای خودکارسازی عملیات استفاده شده و از اطلاعات کوکی‌های به سرقت رفته جهت ورود به سایت مورد نظر و انجام کارهایی همچون تغییر رمز عبور، غیرفعال کردن اعلان‌های Google Workspace، ارسال ایمیل‌ و … استفاده می‌کند.

Evilginx2

Evilginx2 یک ابزار نرم‌افزاری مبتنی بر زبان Golang است که در ابتدا توسط یکی از محققان امنیتی به عنوان یک ابزار تست نفوذ (Pen-Testing tool) ساخته شد. از بارزترین مشخصه‌های آن می‌توان به نصب آسان و امکان استفاده از فایل‌های موسوم به Phishlet که از پیش نصب‌شده، اشاره کرد. فایل‌های Phishlet، فایل‌های پیکربندی از نوع YAML هستند که جهت پیکربندی پراکسی (Proxy) در سایت هدف استفاده می‌شوند.

هنگامی که قربانی جهت ورود بر روی نشانی اینترنتی کلیک می‌کند، پیوند مخرب او را به صفحه‌ای امن منتقل می‌کند، جایی که مهاجمان رمزهای عبور، اطلاعات اصالت‌سنجی MFA و فایلهای کوکی‌ آن سایت را سرقت می‌کنند. در این زمان، قربانی یا به صفحه دیگری هدایت می‌شود یا در همان صفحه می‌ماند. مهاجم سپس می‌تواند از اطلاعات فایل کوکی به سرقت رفته سوءاستفاده نموده و بجای قربانی وارد آن صفحه شود و اقدامات متعددی مانند تغییر رمز عبور و کپی کردن داده‌ها را انجام دهد و خود را بجای قربانی معرفی نماید.

گرچه این ابزارها جدید نیستند اما به طور فزاینده‌ای برای دور زدن روش احراز هویت MFA استفاده می‌شوند و با توجه به اینکه در سایت VirusTotal شناسایی نمی‌شوند، موجب نگرانی محققان امنیتی شده‌اند. اخیراً محققان دانشگاه Stony Brook و محققان Palo Alto Networks ابزاری را طراحی و ساخته‌اند که از طریق آن توانسته‌اند 1200 سایت فیشینگ مبتنی بر MitM را تشخیص دهند. با این حال، تنها 43.7 درصد از این دامنه‌ها و 18.9 درصد از نشانی‌های IP آنها در سایت VirusTotal شناسایی شده است، علیرغم اینکه طول عمر آنها تا 20 روز یا در برخی موارد بیشتر بوده است.

به گفته محققان، از آنجایی که امروزه سازمان‌های بیشتری از روش MFA استفاده می‌کنند، مهاجمان به سرعت به سمت تکنیک‌ها و ابزارهای رایگانی همچون ابزارهای MitM روی آورده‌اند زیرا نصب آنها بسیار آسان است و اغلب توسط محصولات امنیتی یا سایت پویش آنلاین همچون VirusTotal شناسایی نمی‌شوند. از این رو یافتن راهکاری جهت مقابله با این نقاط کور قبل از تکامل بیشتر این گونه حملات بسیار ضروری می‌باشد.

جزییات بیشتر در خصوص ابزار‌های فیشینگ در نشانی زیر قابل مطالعه است:

https://www.proofpoint.com/us/blog/threat-insight/mfa-psa-oh-my

 

منبع:

https://threatpost.com/low-detection-phishing-kits-bypass-mfa/178208/

 

 

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *