Session Token hijack - MFA ekki öruggt

[Hjaltiatla]

Óprúttnir aðilar virðast vera byrjað að herja á notendur með Session Token hijack árásum sem eru þess eðlis að þessir aðilar ná að stela Session token (og jafnvel Browser credentials) með því að plata fólk til þess að opna viðhengi og í kjölfarið keyrist Malware í bakgrunninum sem safnar þessum upplýsingum frá notanda.
Aðilinn sem framkvæmdi árásina gæti þá verið kominn með aðgang að Gmail eða Microsoft 365 aðgangi sem dæmi án þess að þurfa að auðkenna sig með passwordi og SMS-i eða Microsoft authenticator og nýtir sér session token frá notanda til að auðkenna sig inná aðgang.Linus tech Tips lentu í svona árás um daginn og fleiri Jútjúbarar skv Linus.



Einnig eru í gangi Man in the Middle Session Token hijack árásir sem eru þess eðlis að árásaraðili platar fólk til þess að opna vefsvæði (t.d með Domaini sem er líkt nafninu sem á að tengjast) og platar fólk til að auðkenna sig í gegnum plat Web server t.d með Microsoft 365 auðkennum sem safnar saman login upplýsingum og session cookies frá notanda á þennan plat Web server.
Dæmi, árásaraðili setur upp Evilginx web server til að safna þessum upplýsingum frá notanda og í kjölfarið er hægt að importa Session token og án þess að þurfa að auðkenna sig með passwordi og SMS-i eða Microsoft authenticator:


Evilginx 3.0 https://github.com/kgretzky/evilginx2


Eruð þið með einhverjar skoðanir á þessu ?

[GuðjónR]

Þetta er SCARY!
Ef HiTech gaur eins og Linus er steiktur með þessum hætti þá eru allir varnarlausir.
Takk fyrir póstinn, þetta er mjög fræðandi og áhugavert.

[Hjaltiatla]

Þetta er SCARY!
Ef HiTech gaur eins og Linus er steiktur með þessum hætti þá eru allir varnarlausir.
Takk fyrir póstinn, þetta er mjög fræðandi og áhugavert.

Það er samt áhugavert í hans tilfelli af hverju vírusvörn klikkaði hjá notanda sem opnaði viðhengi eða hvort notandi var með vírusvörn í gangi þegar hann opnaði viðhengi , en það er önnur saga. T.d eru ansi margir oft að opna vefpóst á heimavél eða persónulegum síma sem er ekkert endilega með vírusvörn eða nota vörnina sem fylgir stýrikerfi sem er ekkert endilega besta vörnin á markaðnum.

[Semboy]

Ég persónulega opna alltaf útan að komandi pdf skjöl í webbrowser og ef þetta verður eithvað heavy í vm.
alls ekki nota pdf forritið í tölvuni það hefur aðgang úti heim.

Það sem ég held hafi gerst með Linus. Pdf skjalið blekkti email vörnina sem fyrirtækið er með
áðurin þetta fór inná innra netið. Annaðhvort ódýrt email-vörn eða hann sé bara ekki með neitt.
Alvörutæki í þessu sviði gæti numið uppi 3.8 milljónir kr.

[Revenant]

Vírusvörn virkar illa þegar um er að ræða polymorphic vírusa (þ.e. þeir eru einstakir fyrir hvern einstakling), notast er við innbyggt scripting í Word/Excel/PDF skjölum eða þegar LOLBAS (innbyggð forrit í Windows sem er hægt að nota í öðrum tilgangi) er notað. Til að greina svoleiðis árásir þarf að vera EDR vörn (e. Endpoint Detection and Response) til staðar (sem safnar gögnum um hvað er að keyra á vélinni) ásamt vélanámi í skýinu (e. machine learning) til að greina hvort um ógn sé að ræða.

Sterkasta vörnin er að notendur séu ekki kerfisstjórar á sinni vél ásamt því að WDAC eða AppLocker sé virkt en það er helst í fyrirtækjum sem það er notað.

Fyrir heimilisfólk sem notar Windows Defender þá væri sniðugt að virkja attack surface reduction (ASR) reglur þá helst "Block executable files from running unless they meet a prevalence, age, or trusted list criterion". Hægt er að nota tól eins og Configure Defender til að kveikja/slökkva á ákveðnum ASR.

Einnig er sniðugt að fólk beini DNS fyrirspurninum sínum á 9.9.9.9 frá Quad9 (mæli með) eða 1.1.1.2 frá Cloudflare sem blokka þekkar malware og C2C slóðir.

Varðandi stuld á Session Tokens þá er oft erfitt að verjast því því það fer oft eftir tólum skýjaþjónustunnar hvernig afturköllun fer fram og hversu langan tíma það tekur. Einnig eru þjónustur mjög mismunandi hvort þau séu með greiningu á þjófnaði eða treysta tokeninu blindandi jafnvel þótt það hafi flakkað þúsundir kílómetra á örfáum sekúndum. Oft þarf þjónustu frá þriðja aðila til að vakta og greina svona token þjófnað.

[Semboy]

Hér er eitt dæmi um 3 aðila. Semsagt ef linus væri með "AMP for Email" Ég get næstum því sagt svo sé ekki.
Threat Grid er semsagt database fyrir virusa og allskonar óþverra sem hafa verið fundnar áður fyrr og alltaf að leita.
T.d í þessu tilfelli tækið hjá Linus "AMP for Email" sem kostar þessar milljónir scannar email sem er ætlað einhvern enda púnkt hjá Linus
og sér það er eithvað athugavert við þetta það er viðhengi á þessu. Tækið skoðar viðhengið nánar og ef allt er solid sendir hann þennan pakka yfir á Threat Grid og það ákveður ferlinu hvort þetta eigi að halda áfram( Og það er hér sem hlutir geta klikkað, Kannski er þetta ný tegund af malware
sem allar þessar stofnanir hafa ekki séð áður fyrr)

[natti]

Hér er eitt dæmi um 3 aðila. Semsagt ef linus væri með "AMP for Email" Ég get næstum því sagt svo sé ekki.

Hvernig geturu sagt að svo sé ekki?
Það er engin ein lausn skotheld, það er alltaf e-ð sem kemst í gegn.
Sandboxing lausnir ná aldrei að grípa allt, og það er endalaust cat'n'mouse leikur þar sem þeir sem skrifa malware eru líka að reyna að skynja hvenær malware-ið er í virtual/sandboxing umhverfi og gerir þar af leiðandi ekki vondastuffið.

T.d í þessu tilfelli tækið hjá Linus "AMP for Email" sem kostar þessar milljónir scannar email

AMP for Email er ekki tæki, heldur lausn/feature fyrir Cisco Secure Email, sem áður hét Cisco Email Security Appliance, sem áður hét Ironport.
Og eins og flestar lausnir þá er verðið byggt á fjölda notenda.
Þetta er eins og að segja að windows11 pro kostir 3-4 milljónir... sem að er alveg satt... ef þú kaupir nógu mörg leyfi.

og sér það er eithvað athugavert við þetta það er viðhengi á þessu. Tækið skoðar viðhengið nánar og ef allt er solid sendir hann þennan pakka yfir á Threat Grid og það ákveður ferlinu hvort þetta eigi að halda áfram( Og það er hér sem hlutir geta klikkað, Kannski er þetta ný tegund af malware
sem allar þessar stofnanir hafa ekki séð áður fyrr)

Þessi virkni, þ.e. AMP for Email virkar þannig að hash (sha256) af viðhenginu er skoðað og borið saman við þekktar skrár.
Ef að viðhengið er þekkt sem malware, þá er það stöðvað.
Ef að viðhengið er þekkt sem ekki malware, þá fær það að fara áfram.
Ef að viðhengið er með öllu óþekkt og hefur hvergi sést áður, þá út frá ákveðnum forsendum er viðhengið sent áfram inn í sandboxing lausn þar sem það er keyrt upp á einni eða fleiri vélum, uppbygging á viðhenginu og hegðun er skoðuð, og út frá áhættulíkani er gefin einkun frá 0-100 hversu líklegt er að þetta sé malware, og allt sem fer yfir t.d. 80 er þá stöðvað.

Flestar email varnir, þmt ATP for Email í O365, eru með sambærilega virkni/varnir.
Og það er engin lausn sem grípur 100% allt það slæma.

Þegar skjalið er svo skoðað/keyrt upp á útstöð, þá fer svipað ferli í gang nema á forsendum vírusvarnar/edr/etc sem er á viðkomandi vél.
En eins og Revenant kemur inn á, fyrir polymorphic vírusa eða e-ð sem að er target-ed sérstaklega á þá, þá getur verið erfitt að spotta og stöðva.
Í mörgum tilfellum snúast varnirnar ekki um að stöðva ógnina áður en e-ð gerist, heldur hversu fljótt kemur í ljós hvað er í gangi, er hægt að stöðva það og einangra(e.quarantine) viðkomandi vél, og bregðast við. (Og hversu hátt hlutfall af viðbragðinu getur verið sjálfvirkt.)

[Semboy]

Í þessu samhengi "AMP for Email" er ESA tækið sem getur verið Cisco ESA-X1070-FI-K9
og hann kostar pening og ofan á það ef fyrirtæki langar þá er auka 200þús á ári fyrir hvern notanda.
Og Ég skal leiðrétta mig frá fyrra posti: ég meinti AMP ekki Thread Grid sem virkar eins og database.
Threat Grid er lausn sem getur framkvæmt statísk skráagreiningu (til dæmis með því að skoða skráarnöfn, MD5-checksums, skráartegundir o.fl.)
og einnig gervigreina skrár með því að keyra skrár í stjórnðu og eftirlitnu rammaumhverfi
til að fylgjast með hegðun þeirra og greina þá í samanburði við milljónir eða milljarðar(malwares) sem AMP getur haft hjá sér í lista,
Sum malware eru sniðugir að spotta þegar það er verið að (það er rangt að tala um að rönna, ég lofa að vanda málfar mitt annars verð ég bannaður, lengi lifi ritskoðun!) þá í sandbox
Cisco ábyrgjast að Threat Grid nær að fela sig því frá þeim.


Og ekkert af þessu skotheld og ég sagði ekkert öðruvisi.

[natti]

Í þessu samhengi "AMP for Email" er ESA tækið

Neibb.
"AMP for Email", sem er núna kallað "Cisco Secure Email Malware Defense", er ekki tæki heldur einn af þeim eiginleikum(e. features) sem Cisco Secure Email (áður: ESA) hefur upp á að bjóða.

sem getur verið Cisco ESA-X1070-FI-K9

Cisco Secure Email Gateway /ESA er hægt að keyra sem virtual appliance í t.d. vmware, en einnig er hægt að kaupa dedicated appliance fyrir viðbótarkostnað og "ESA-X1070-FI-K9" er einn af mörgum valmöguleikum sem voru í boði.
Það er engin krafa að kaupa eitthvað hardware.

og hann kostar pening og ofan á það ef fyrirtæki langar þá er auka 200þús á ári fyrir hvern notanda.

"AMP for Email"/"Cisco Secure Email Malware Defense" kostar ekki og hefur aldrei kostað 200þús á ári fyrir hvern notanda.
Nú ertu bara að bulla.

Cisco ábyrgjast að Threat Grid nær að fela sig því frá þeim.

Cisco gerir sitt besta en ábyrgist það ekki.
Það er ekki nokkurt fyrirtæki sem ábyrgist eitthvað í öryggislausnum.


Sko, vegna framsetningu, innihalds og það að þú hafir "valið" að vitna í búnað sem hætti í sölu 2014 þá grunar mig að þú sért að reyna að nota ChatGPT til að finna þessar upplýsingar fyrir þig.
Það er fullt sem hægt er að nota ChatGPT í, en áreiðanleiki og réttleiki upplýsinganna sem þú færð úr því tóli er oft á tíðum langt frá raunveruleikanum.

Edit:
Hérna er yfirlitssíðan fyrir Cisco Secure Email.
Bæði eru linkar í upplýsingar þaðan og ef þú ýtir á "Resources" þá eru linkar í data-sheets og aðrar upplýsingar.

[Semboy]

Þú mátt endilega hafa samband við mig í pm.
Og êg gef þér snippits úr bókina.

[Hjaltiatla]

jæja , ætli það sé ekki líklegt að þetta sé að gerast núna hérlendis í heimabönkum.
Verið að plata fólk til að auðkenna sig í gegnum plat Web server sem safnar saman login upplýsingum og session cookies frá notanda á þennan plat Web server.
Dæmi, árásaraðili setur upp Evilginx web server til að safna þessum upplýsingum frá notanda og í kjölfarið er hægt að importa Session token og án þess að þurfa að auðkenna sig með passwordi og SMS-i eða Microsoft authenticator og þess háttar.
https://www.visir.is/g/20232471852d/vara-vid-netsvikum-sem-beinast-ad-heimabanka