Sabırlı, yeni bir kimlik avı tekniği, mağdurların VNC ekran paylaşım sistemini kullanarak doğrudan saldırgan kontrollü sunucularda doğrudan saldırgan kontrollü sunuculara giriş yaparak çok faktörlü kimlik doğrulamasını (MFA) atlamalarını sağlar.
Başarılı kimlik avı saldırılarının en büyük engellerinden biri, hedeflenen kurbanın e-posta hesaplarında yapılandırılmış çok faktörlü kimlik doğrulamasını (MFA) atlar.
Tehdit aktörleri kullanıcıları bir kimlik avı sitesinde kimlik bilgilerini girmeye ikna etse bile, MFA hesabı korursa, hesaptan tamamen ödün vermezse, kurbana gönderilen tek seferlik şifresini gerektirir.
Hedefin MFA korumalı hesaplarına erişmek için, kimlik avı kitleri, istenmeyen mağdurlardan gelen MFA kodlarını toplamak için ters proxy veya diğer yöntemleri kullanmak için güncellenmiştir.
Bununla birlikte, şirketler bu yöntemi yakalıyorlar ve ters proxy'lerin algılandığında girişleri engelleyen veya hesapları devre dışı bırakan güvenlik önlemlerini tanıtmaya başladı.
Bir müşteri için bir penetrasyon testi yürütürken, Security Araştırmacısı MR.D0X, müşterinin çalışanlarına kurumsal hesap kimlik bilgileri kazanmak için bir kimlik avı saldırısı oluşturmaya çalıştı.
Hesapların MFA ile yapılandırıldığı için, Mr.D0x, kimlik bilgilerini ve MFA kodlarını çalmak için ters proxy olarak işlev gören Evilginx2 saldırı çerçevesini kullanarak bir kimlik avı saldırısı oluşturur.
Testi yürütürken, araştırmacı, Google'ın ters proxy'leri veya orta adresini (MITM) saldırılarını tespit ederken oturum açmayı engellediğini buldu.
Mr.D0x, BleepingComputer'a, bu tür saldırıları önlemek için, 2019 yılında Google tarafından eklenen yeni bir güvenlik özelliği olduğunu söyledi.
Araştırmacı ayrıca BleepingComputer'a, LinkedIn gibi web sitelerinin, orta-in-orta (MITM) saldırılarını tespit ettiği ve başarılı girişlerden sonra hesapları devre dışı bıraktığını söyledi.
Bu engelin üstesinden gelmek için, Mr.D0x, saldırganın sunucusunda çalışan ancak kurbanın tarayıcısında gösterilen e-posta giriş bilgilerini görüntülemek için Kiosk modunda çalışan Novnc uzaktan erişim yazılımını ve tarayıcılarını kullanan saptırıcı bir yeni phishing tekniği ile ortaya çıktı.
VNC, uzak kullanıcıların oturum açmış bir kullanıcının masaüstüne bağlanmasına ve kontrol etmelerini sağlayan uzaktan erişim yazılımıdır. Çoğu insan, uzak masaüstünü benzer bir şekilde Windows Remote masaüstüne açan özel VNC istemcileri aracılığıyla bir VNC sunucusuna bağlanır.
Bununla birlikte, NovNC adında bir program, kullanıcıların araştırmacının yeni kimlik avı tekniğinin oyuna girdiğinde bir bağlantıyı tıklatarak bir vnc sunucusuna doğrudan bir tarayıcı içinden bağlanmasını sağlar.
"Öyleyse, NOVNC'yi kimlik bilgilerini ve bypass 2FA'yı çalmak için nasıl kullanırız? Novnc ile bir sunucuyu ayarlayın, Kiosk modunda Firefox (veya başka bir tarayıcıyı) çalıştırın .com), "Yeni kimlik avı tekniğinde Mr.D0x tarafından yeni bir raporu açıklar.
"Bağlantıyı hedef kullanıcıya gönderin ve kullanıcı URL'yi tıkladığında, VNC oturumuna gerçekleştirmeden ulaşırlar. Ve Kiosk modunda Firefox'u zaten ayarladığınız için, tüm kullanıcının beklendiği gibi bir web sayfasıdır. "
Bu yapılandırmayı kullanarak, bir tehdit oyuncusu, hedefin tarayıcısını otomatik olarak başlatan ve saldırganın uzak VNC sunucusuna giriş yapan bağlantılar içeren hedefli mızraksız kimlik avı e-postalarını gönderebilir.
Bu bağlantılar oldukça özelleştirilebilir ve saldırganın aşağıdaki gibi şüpheli VNC giriş URL'leri gibi görünmeyen bağlantılar oluşturmasına izin verebilir:
Saldırganın VNC sunucusu, Kiosk modunda bir tarayıcıyı çalıştırmak için yapılandırıldığında, tarayıcıyı tam ekran modunda çalıştırırken, mağdur bir bağlantıyı tıkladığında, hedeflenen e-posta hizmeti için bir giriş ekranı görecek ve normal olarak oturum açın.
Bununla birlikte, giriş istemi aslında saldırganın VNC sunucusu tarafından gösterildiğinden, tüm giriş denemeleri doğrudan uzak sunucuda gerçekleşir. Mr.D0x, BleepingComputer'a bir kullanıcının hesaba giriş yaptıktan sonra, bir saldırganın kimlik bilgilerini ve güvenlik belirteçlerini çalmak için çeşitli araçları kullanabileceğini söyledi.
Daha da tehlikeli olan bu teknik, kullanıcının doğrudan saldırganın sunucusundaki bir kerelik şifreyi girip gelecekteki oturum açma girişimleri için yetkilendirmesini sağlayacak şekilde MFA'yı atlayacaktır.
"Sunucum olduğundan, manşonumu çok fazla kandırabilirim, örneğin, bu tarayıcıya bağlı ve bu tarayıcıya bağlı herhangi bir HTTP proxy var ve gerçekleşen tüm HTTP isteklerini yakaladığım için. Kullanıcı yapıldığında istekleri kontrol edebilirim ve Mr.D0x, BleepingComputer'ı, saldırı hakkında bir konuşmaya başlamasını söyledi.
Başka bir alternatif, kimlik avı bağlantısını göndermeden önce JS'yi tarayıcıya enjekte edebilirim. Kullanıcı tarayıcıyı kullanarak başladığında, js.thering'lerimi çalıştırır, çünkü günün sonunda kullanıcının sunucunuza doğrulanıyor. "
Mr.D0x
Saldırı sadece birkaç kişiyi hedeflemek için sınırlı bir şekilde kullanılıyorsa, saldırganın VNC oturumu üzerindeki e-posta hesabına giriş yapmak, cihaza gelecekte hesaba bağlanmasına izin verecektir.
VNC'nin birden fazla kişinin aynı oturumu izlemesini sağladığından, bir saldırganın hesaba giriş yaptıktan sonra kurbanın oturumunu ayırabilir ve daha sonra hesaba ve tüm e-postalarına erişmek için aynı oturuma bağlanabilir.
Bu saldırı gerçek dünya saldırılarında kullanıldığında, araştırmacı, BleepingComputer'a saldırganların gelecekte kullanacağına inandığını söyledi.
Kendinizi bu tür saldırılardan nasıl korunacağınız için, tüm kimlik avı önerileri aynı kalır: Bilinmeyen Gönderenlerden URL'leri tıklamayın, olağandışı etki alanları için gömülü bağlantıları inceleyin ve tüm e-postaları, özellikle giriş yapmanızı istediğinde hesabınıza.
Microsoft, geçen yıl milyarlarca kaba kuvvet ve kimlik avı saldırılarını engelledi
MFA evlat edinme, kimlik avı aktörlerini proxy çözeltilerini tersine çevirir
Hacker'lar MFA FLAW kullanarak binlerce Coinbase müşterisi Rob
Kredi kartlarını çalmak için 40 site kullanan polis büstü kimlik avı grubu
Yeni Kimlik Avı Kampanyası Monzo Çevrimiçi Bankacılık Müşterilerini Hedefliyor
Kaynak: Bleeping Computer