Na obsežnem področju kibernetskih groženj se je pojavila razmeroma nova, a učinkovita metoda: Napadi Adversary In the Middle – AitM. Napadi AitM so nedavno postali bolj priljubljeni, ko so organizacije v svojih okoljih začele uporabljati več-faktorsko preverjanje pristnosti (MFA), saj ta tehnika ponuja zanimiv način izogibanja varnostnemu nadzoru MFA.
V tem članku bomo demistificirali napade AitM, tako da se bomo poglobili v primere iz resničnega sveta, razumeli motive za takšne kampanje, opredelili najbolj ciljne panoge, obravnavali različne tehnike, ki jih uporabljajo napadalci in na koncu zagotovili smernice za možne strategije za ublažitev.
Kaj je napad AitM?
Pri napadu AitM, kot pove že ime, se nasprotnik strateško postavi med dve komunicirajoči strani, pri čemer se legitimna subjekta tega običajno ne zavedata.
Napadalci pogosto uporabljajo strategijo AitM (Adversary-In-The-Middle), da se postavijo med več povezanih naprav. Takšna umestitev pomaga pri nadaljnjih zlonamernih dejavnostih, kot je spremljanje omrežnega prometa ali spreminjanje prenesenih podatkov. Z izkoriščanjem ranljivosti nekaterih omrežnih protokolov, ki določajo pretok prometa, kot so ARP, DNS in LLMNR, lahko napadalci preusmerijo komunikacijo naprave prek sistema, ki ga nadzorujejo. Tako lahko zbirajo podatke ali izvajajo nadaljnja zlonamerna dejanja.
Z vmešavanjem v žrtvine konfiguracije DNS lahko napadalci ovirajo ali preusmerijo uporabnike pri dostopu do pristnih spletnih mest ali celo vnesejo dodatno zlonamerno programsko opremo. Poleg tega lahko z izkoriščanjem svojega položaja prestrežejo uporabniške poverilnice in informacije o sejah. Napadalci lahko uporabljajo tudi napade na AitM, s katerimi si utrdijo položaj, tako da izsilijo uporabo zastarelih ali šibkejših komunikacijskih protokolov ali metod šifriranja.
Realni primer iz Microsoftovega varnostnega bloga izpostavlja večstopenjsko kampanjo AitM za ribarjenje (phishing) in BEC (Business Email Compromise). Napadalci so se izdajali za vodstvene delavce podjetja, zaposlenim pošiljali lažna e-poštna sporočila in se po uspešnem goljufanju umestili v legitimne e-poštne niti. Nato so manipulirali s finančnimi transakcijami in sredstva preusmerili na svoje račune.
Motiv za AitM
Kampanje AitM lahko vodijo različni motivi, vendar so finančne goljufije eden najpogostejših. Z vmešavanjem v poslovno komunikacijo lahko napadalci manipulirajo s transakcijami, preusmerijo sredstva ali ukradejo občutljive finančne informacije. To ne povzroči le neposredne finančne izgube, temveč lahko okrni ugled podjetij in spodkoplje zaupanje med strankami in partnerji.
Kdo je ogrožen?
Čeprav je lahko potencialna tarča vsaka panoga, so nekatere vertikale za napadalce bolj donosne. Podjetja, ki redno izvajajo obsežne finančne transakcije, kot so nepremičnine, pravna podjetja in finančne institucije, so pogosto na muhi napadov AitM. Poleg tega se lahko s povečanim tveganjem soočajo tudi sektorji s kompleksnimi dobavnimi verigami ali številnimi sodelovanji s tretjimi osebami.
Udeleženci groženj: Tehnike in orodja, ki se uporabljajo pri napadih AitM
Izogibanje večfaktorski avtentikaciji
Pri tem pristopu se napadalec med postopkom avtentikacije znajde med odjemalcem in strežnikom, kar omogoča prestrezanje in krajo podatkov o večfaktorski avtentikaciji (MFA). Napadalec dejansko deluje kot odjemalec in strežnik ter tako zavede resnične udeležence.
Opazili smo veliko povečanje uporabe napadov AitM za prestrezanje podatkov MFA.
Glavne tarče so korporativne stranke, zlasti tiste v podjetjih, ki uporabljajo Microsoftove e-poštne storitve. Kompleksnost kampanje je visoka, končni cilj pa je vdor v poslovne račune, izvajanje napadov BEC (Business Email Compromise) in nezakonit prenos sredstev.
Metodologija
Žrtvam so poslane zlonamerne e-poštne povezave. Odvisno od interakcije uporabnika, te povezave vodijo neposredno na domeno za goljufanje ali pa vsebujejo priponke HTML, ki vodijo do spletnega mesta za goljufanje. Napadalci so ustvarili tudi različice zakonitih spletnih mest z domeno typosquatted in pogosto pošiljajo goljufiva e-poštna sporočila iz kompromitiranih računov izvršnih direktorjev teh podjetij.
Strategije preusmerjanja
Napadalci uporabljajo različne tehnike preusmerjanja z uporabo platform, kot so spletna mesta Open Redirect, ki jih gostijo oglasi Google Ads in spletna orodja za urejanje kode, kot sta CodeSandbox in Glitch.
Čeprav metoda MFA zagotavlja dodatno raven varnosti, ni zanesljiva. Prefinjeni kompleti za ribarjenje in taktike prikrivanja lahko zaobidejo tradicionalne in napredne varnostne ukrepe. Uspeh napadov ribarjenja je v veliki meri odvisen od interakcije uporabnikov, kar poudarja pomen ozaveščanja in usposabljanja uporabnikov.
Vendar pa bi radi omenili dve rešitvi, ki lahko pomagata pri preprečevanju uspešnih napadov AiTM, katerih cilj je izogniti se MFA – za strategije rešitev glejte konec članka.
Zastrupitev LLMNR/NBT-NS in posredovanje SMB
Nasprotniki izkoriščajo omrežni promet LLMNR/NBT-NS za posnemanje zanesljivega vira za razreševanje imen in usmerjajo komunikacijo v zlonamerni sistem. Ti komponenti – LLMNR in NBT-NS – sta sestavni del sistema Microsoft Windows in služita kot rezervna mehanizma za identifikacijo gostitelja. Ko se nasprotniki odzovejo na ta promet, lahko manipulirajo s storitvijo in povzročijo, da žrtve komunicirajo s sistemom, ki ga nadzoruje napadalec. Če je za zahtevani vir potrebna avtentikacija, se zlonamernemu sistemu pošljeta žrtvino uporabniško ime in geslo NTLMv2. Napadalci lahko te podatke o stiskanju ujamejo in jih razbijejo za dostop do gesel v navadnem besedilu. V določenih primerih lahko te hashe tudi prestrežejo in posredujejo ter tako napadalcem omogočijo zagon kode na ciljnem sistemu. Poleg tega lahko napadalci te hashe vgradijo v različne protokole in s tem razširijo svoje zlonamerne zmogljivosti. Orodja, kot so NBNSpoof, Metasploit in Responder, se lahko uporabijo za izkoriščanje teh ranljivosti v lokalnih omrežjih.
Orodja za zlorabo tehnike LLMNR/NBT-NS Poisoning in SMB Relay:
- Responder: Zastrupitev imenskih storitev za zbiranje gesel in poverilnic iz lokalnih omrežnih sistemov.
- Impacket: Uporablja module, kot sta ntlmrelayx in smbrelayx za vohljanje po omrežju, zastrupljanje LLMNR/NBT-NS in SMB Relay za zbiranje poverilnic NetNTLM za napade z grobo silo ali posredovanje.
- Empire: Inveigh za zastrupljanje imenskih storitev za krajo poverilnic in napade s posredovanjem.
- PoshC2: Za zastrupljanje imenskih storitev za krajo poverilnic in napade s posredovanjem.
- Pupy: Uporablja NBNS Spoofing za zastrupljanje imenskih storitev
Udeleženci groženj, za katere je znano, da zlorabljajo tehnike LLMNR/NBT-NS Poisoning in SMB Relay:
- Wizard Spider: Za zastrupljanje imenskih storitev verjetno uporablja ukaz Invoke-Inveigh PowerShell.
- Lazarus Group: Izvaja Responder na kompromitiranih gostiteljih, da pridobi poverilnice in se premakne naprej.
Zastrupitev predpomnilnika ARP
Nasprotniki izkoriščajo protokol ARP (Address Resolution Protocol), da se postavijo na komunikacijsko pot omrežnih naprav in tako lahko spremljajo ali spreminjajo prenesene podatke. ARP je ključnega pomena za preslikavo naslovov IPv4 na naslove MAC v lokalnih omrežjih. Če naprava potrebuje naslov MAC, povezan z IP, pošlje zahtevo ARP. Ustrezna naprava odgovori s svojim naslovom MAC, ki je shranjen v predpomnilniku ARP prosilca. Napadalci lahko naprave prelisičijo tako, da na te zahteve hitro odgovorijo s svojim naslovom MAC in tako prepričajo žrtev, da komunicirajo s predvideno napravo. To prevaro je mogoče doseči s hitrim odgovarjanjem na zahteve ARP ali s pošiljanjem nenaročenih odgovorov ARP. Ker ARP nima avtentikacije, lahko naprave napačno posodobijo svoj predpomnilnik ARP. Z zastrupljanjem predpomnilnika ARP lahko nasprotniki prestrežejo omrežni promet in potencialno pridobijo občutljive podatke, kot so poverilnice, zlasti če se prenašajo brez šifriranja.
Udeleženci groženj, za katere je znano, da zlorabljajo tehniko zastrupljanja predpomnilnika ARP:
- Cleaver: Uporablja prilagojena orodja za zastrupljanje predpomnilnika ARP.
- LuminousMoth: Uporablja lažno nastavitev ARP za preusmerjanje ogroženih računalnikov na spletna mesta, ki jih nadzirajo akterji.
Podtikanje DHCP
Nasprotniki lahko omrežni promet preusmerijo na svoje sisteme tako, da se izdajajo za strežnik DHCP, kar je tehnika, znana kot podtikanje DHCP. Če se postavijo sredi komunikacije (AitM), lahko prestrežejo in potencialno manipulirajo z omrežno komunikacijo ter pridobijo občutljive podatke, kot so nešifrirani poverilnice. DHCP deluje po modelu odjemalec-strežnik, kjer odjemalec zahteva konfiguracijo omrežja, strežnik pa jo zagotovi. Postopek vključuje odjemalca, ki odda sporočilo DISCOVER, strežnik, ki ponudi razpoložljiv omrežni naslov, odjemalca, ki zahteva ponujeni naslov, in strežnik, ki potrdi zahtevo. Napadalci lahko v omrežju žrtve vzpostavijo prevarantske strežnike DHCP, kar vodi do zlonamernih omrežnih konfiguracij. Zlonamerna programska oprema lahko na primer deluje kot strežnik DHCP in dodeli računalnike žrtve zlonamernim strežnikom DNS. S tem lahko nasprotniki usmerjajo promet prek svojih sistemov in zbirajo dragocene podatke. Poleg tega lahko nasprotniki izkoriščajo DHCP za napade na izčrpavanje, pri čemer omrežje preplavijo s sporočili DISCOVER in tako izčrpajo fond dodelitev DHCP.
Blaženje napadov AitM
Zaščita pred napadi AiTM zahteva kombinacijo tehnologije, procesov in ozaveščenosti. Poleg tega je potreben globinski pristop k kibernetski varnosti (kombinacija tehnik preprečevanja in odkrivanja), da bi resnično zmanjšali tveganje uspešnih napadov. V nadaljevanju navajamo nekaj možnosti za ublažitev, ki jih lahko uporabite v svojih okoljih v boju proti napadom AiTM:
- MFA metode, odporne na ribarjenje: Z metodami MFA, podprtimi s strojno opremo, bo zagotovljena zaščita pred AitM (npr. z uporabo strojnih avtentikatorjev, skladnih s FIDO2). Tudi biometrična avtentikacija se je izkazala za dober protiukrep za napade AitM.
- Pogojni nadzor dostopa: Pogojni nadzor dostopa, ki zahteva informacije o stanju naprave ali specifični lokaciji omrežja, bo zagotovil zaščito pred napadi AitM.
- Filtriranje omrežnega prometa: Če se IPv6 ne uporablja, filtrirajte promet DHCP na vratih 67 in 68 iz neznanih ali nezaupljivih strežnikov DHCP, omogočite varnost vrat na stikalih plasti, omogočite DHCP snooping na stikalih plasti 2, da preprečite DHCP spoofing in napade s stradanjem, ter blokirajte promet DHCPv6 in dohodne oglase usmerjevalnikov.
- Onemogočite ali odstranite funkcijo ali program: Onemogočite posodabljanje predpomnilnika ARP ob odgovorih ARP.
- Šifrirajte občutljive informacije: Šifrirajte promet in uporabljajte najboljše prakse za avtentikacijske protokole.
- Omejite dostop do virov prek omrežja: Ustvarite statične vnose ARP za omrežne naprave.
- Segmentacija omrežja: Izolirajte infrastrukturne komponente, da zmanjšate obseg dejavnosti AitM.
- Preprečevanje vdorov v omrežje: Uporabite sisteme za prepoznavanje in zmanjševanje dejavnosti AitM.
- Usposabljanje uporabnikov: Usposabljanje uporabnikov, da so previdni glede napak v certifikatih in s tem preprečijo prestrezanje prometa HTTPS.
Odkrivanje napadov AitM
Obstaja več načinov za odkrivanje morebitnih napadov AitM, vendar so močno odvisni od zmogljivosti v določenem okolju (odvisno od tega, kakšne varnostne kontrole in varnostna orodja so vzpostavljena). Če bi svetovali nekaj, kar je splošno uporabno, bi bilo to naslednje:
- Spremljajte dnevnike aplikacij za spremembe nastavitev in druge dogodke, povezane z omrežnimi protokoli in drugimi storitvami, ki se pogosto zlorabljajo za AitM.
- Spremljajte omrežni promet za nepravilnosti, ki so skladne s prepoznanimi vzorci AitM. Spremljajte omrežni promet, ki izhaja iz nepredvidenih ali neznanih strojnih naprav. Metapodatki iz lokalnega omrežnega prometa, vključno z izvornimi naslovi MAC, skupaj z uporabo protokolov za upravljanje omrežja, kot je DHCP, lahko pomagajo pri ugotavljanju izvora strojne opreme.
- Spremljajte ustvarjanje novih storitev/daemonov s preverjanjem dnevnikov dogodkov sistema Windows za ID dogodka 4697 in 7045. Pomembno je, da podatke in dogodke obravnavate v kontekstu zaporedja dejanj, saj so lahko povezani z nadaljnjimi dejavnostmi, kot sta oddaljeni dostop ali začetek procesov.
Zaključimo lahko, da čeprav napadi AitM predstavljajo veliko grožnjo, lahko organizacije učinkovito zmanjšajo tveganja in zaščitijo svoja sredstva s proaktivnimi ukrepi in nenehnim nadzorovanjem.