Πρόσφατα, αποκαλύφθηκε ότι υπάρχει ένα νέο εργαλείο, το οποίο μπορούν να χρησιμοποιήσουν οι hackers για να πραγματοποιήσουν phishing επιθέσεις, παρακάμπτοντας τον έλεγχο ταυτότητας δύο παραγόντων. Το χειρότερο είναι, ότι δεν είναι εύκολο να εντοπιστεί και να μπλοκαριστεί. Αυτό το εργαλείο κάνει πιο εύκολη την πραγματοποίηση επιθέσεων, οπότε οι εταιρείες θα πρέπει να πάρουν μέτρα προστασίας.
Το νέο εργαλείο παρουσιάστηκε στο συνέδριο Hack in the Box, στο Άμστερνταμ, και κυκλοφόρησε στο GitHub μετά από λίγες μέρες. Αποτελείται από δύο στοιχεία: Έναν reverse-proxy, που ονομάζεται Muraena και ένα Docker container, που ονομάζεται NecroBrowser.
Επιθέσεις τύπου man-in-the-middle
Συνήθως, στις phishing επιθέσεις, τα θύματα μεταφέρονται σε ψεύτικες σελίδες, που ελέγχονται από hackers. Ωστόσο, αυτές οι επιθέσεις δεν είναι ιδιαίτερα αποτελεσματικές, όταν χρησιμοποιείται ο έλεγχος ταυτότητας δύο παραγόντων.
Για να παρακάμψουν τον έλεγχο ταυτότητας δύο παραγόντων, τα phishing sites πρέπει να λειτουργήσουν σας proxies, ώστε να μεταφέρουν τα αιτήματα, για λογαριασμό των θυμάτων, στα νόμιμα sites και να ανταποκριθούν σε πραγματικό χρόνο. Ο τελικός στόχος είναι η ενεργοποίηση των cookies κατάστασης περιόδου σύνδεσης, μέσω των οποίων τα νόμιμα sites συνδέονται με τους λογαριασμούς των χρηστών. Αυτά τα cookies μπορούν να τοποθετηθούν σε ένα browser, απ’ όπου θα υπάρχει άμεση πρόσβαση στους συνδεδεμένους λογαριασμούς χρηστών, χωρίς να απαιτείται πιστοποίηση.
Αυτή η proxy-based τεχνική είναι γνωστή εδώ και αρκετό καιρό. Ωστόσο, η χρήση της για την πραγματοποίηση επιθέσεων δεν ήταν απλή υπόθεση, καθώς απαιτούνταν πολλές τεχνικές γνώσεις και πολλά εργαλεία, όπως ο NGINX web server για να λειτουργήσει ως reverse-proxy. Στη συνέχεια, οι hackers θα έπρεπε να καταχραστούν χειροκίνητα τα κλεμμένα cookies κατάστασης περιόδου σύνδεσης. Ένα άλλο εμπόδιο είναι ότι κάποια sites χρησιμοποιούν τεχνολογίες για την αποτροπή του proxying.
Tα Muraena και NecroBrowser σχεδιάστηκαν για να παρακάμπτουν αυτά τα μέτρα προστασίας και να κάνουν πιο γρήγορα τις διαδικασίες, επιτρέποντας σε όλο και περισσότερους hackers να πραγματοποιήσουν επιθέσεις. Τα εργαλεία δημιουργήθηκαν από τους ερευνητές Michele Orru και Giuseppe Trotta.
Πώς λειτουργούν τα Muraena και NecroBrowser;
Για το Muraena έχει χρησιμοποιηθεί η γλώσσα προγραμματισμού Go. Αυτό σημαίνει ότι το Muraena μπορεί να εκτελεστεί σε οποιαδήποτε πλατφόρμα είναι διαθέσιμη η Go. Οι hackers μπορούν να το χρησιμοποιήσουν για να τροποποιήσουν το phishing domain τους και να αποκτήσουν ένα νόμιμο πιστοποιητικό.
Το εργαλείο διαθέτει έναν server, ο οποίος λειτουργεί ως reverse-proxy και έναν ανιχνευτή, που καθορίζει αυτόματα τους πόρους, που θα χρησιμοποιηθούν από το νόμιμο site. To proxy επεξεργάζεται τα αιτήματα, που λήφθηκαν από το θύμα, προτού τα διαβιβάσει.
Το πρόγραμμα ανίχνευσης δημιουργεί αυτόματα ένα αρχείο JSON, το οποίο τροποποιείται και μπορεί να παρακάμψει διάφορες άμυνες σε πιο περίπλοκες ιστοσελίδες.
Όταν το θύμα μεταφερθεί σε μια phishing σελίδα, στην οποία έχει εφαρμοστεί το Muraena, η διαδικασία σύνδεσης θα γίνει ακριβώς, όπως γίνεται και σε ένα πραγματικό site. Θα ζητηθεί ο κωδικός για τον έλεγχο ταυτότητας δύο παραγόντων, και μόλις ολοκληρωθεί η διαδικασία ελέγχου, ο proxy θα κλέψει το cookies κατάστασης περιόδου σύνδεσης.
Τα cookies αποθηκεύονται από τον browser σε ένα αρχείο. Έτσι, οι hackers μπορούν να αποκτήσουν πρόσβαση τους συνδεδεμένους λογαριασμούς, για ένα συγκεκριμένο χρονικό διάστημα, χωρίς να ζητηθεί ξανά κωδικός πρόσβασης.
Το Muraena στη συνέχεια περνά τα κλεμμένα cookies στο NecroBrowser, το οποίο ξεκινά αμέσως την κατάχρησή τους.
Η κατάχρηση αφορά λήψη screenshots των email, επαναφορά του κωδικού πρόσβασης, συλλογή πληροφοριών σχετικά με επαφές και φίλους στα social media, αποστολή phishing emails σε φίλους και πολλά άλλα.
Πώς να προστατευτείτε από αυτές τις phisihng επιθέσεις;
Απ’ ότι φαίνεται είναι πολύ δύσκολο να υπάρξει πλήρης προστασία από τις συγκεκριμένες επιθέσεις, αφού το συγκεκριμένο εργαλείο φτιάχτηκε για να παρακάμπτει τα υπάρχοντα μέτρα προστασίας.
Ωστόσο, δεν μπορούν να παρακαμφθούν όλες οι μέθοδοι ελέγχου ταυτότητας δύο παραγόντων. Για παράδειγμα, δεν μπορούν να παρακαμφθούν εκείνες, που χρησιμοποιούν USB hardware tokens με υποστήριξη για το πρότυπο Universal 2nd Factor (U2F). Αυτό οφείλεται στο γεγονός ότι αυτά τα USB tokens συνδέονται με ιδιαίτερες διαδικασίες κρυπτογράφησης με το νόμιμο site, μέσω του browser, και δεν περνάει από το reverse-proxy του εισβολέα.
Αντίθετα, ο έλεγχος, που βασίζεται σε κωδικούς, που λαμβάνονται μέσω SMS ή παράγονται από εφαρμογές είναι ευάλωτες. Αυτό συμβαίνει γιατί τα θύματα εισάγουν τον κωδικό με το χέρι, οπότε υπάρχει κίνδυνος να τον εισάγουν σε ένα phishing site.
Ένα άλλο μέτρο προστασίας είναι η χρήση μιας επέκτασης, που ελέγχει εάν ο χρήστης εισάγει τα credentials του στο σωστό site. Η Google διαθέτει μια τέτοια επέκταση για το Chrome. Ονομάζεται Password Alert και προειδοποιεί τους χρήστες, εάν επιχειρούν να βάλουν τα credentials τους σε site, που δεν ανήκει στην Google.
Οι χρήστες πρέπει να εκπαιδευτούν στην αναγνώριση των ψεύτικων σελίδων και να είναι συνεχώς σε επαγρύπνηση. Τα πρωτόκολλα TLS / SSL και τα έγκυρα πιστοποιητικά δεν είναι αρκετά για να θεωρηθεί νόμιμο ένα site. Τα πιστοποιητικά μπορούν πλέον να αποκτηθούν δωρεάν, οπότε τα περισσότερα phishing sites μπορούν να εμφανίζονται με HTTPS.
