Hileli, yeni bir kimlik avı tekniği, kurbanların VNC ekran paylaşım sistemini kullanarak doğrudan saldırgan tarafından kontrol edilen sunucularda gizlice hesaplarına giriş yapmasını sağlayarak düşmanların çok faktörlü kimlik doğrulamayı (MFA) atlamasına olanak tanır.
Başarılı kimlik avı saldırılarının önündeki en büyük engellerden biri, hedeflenen kurbanın e-posta hesaplarında yapılandırılmış çok faktörlü kimlik doğrulamayı (MFA) atlamaktır.
Tehdit aktörleri, kullanıcıları kimlik avı sitesine kimlik bilgilerini girmeye ikna edebilse bile, MFA hesabı koruyorsa, hesabın tamamen ele geçirilmesi, kurbana gönderilen tek seferlik şifreyi gerektirir.
Bir hedefin MFA korumalı hesaplarına erişim sağlamak için, kimlik avı kitleri, ters proxy’leri veya farkında olmayan kurbanlardan MFA kodlarını toplamak için diğer yöntemleri kullanacak şekilde güncellendi.
Bununla birlikte, şirketler bu yöntemi takip ediyor ve ters proxy’ler tespit edildiğinde girişleri engelleyen veya hesapları devre dışı bırakan güvenlik önlemleri uygulamaya başladı.
kurtarmaya VNC
Güvenlik araştırmacısı mr.d0x, bir müşteri için bir sızma testi yürütürken, kurumsal hesap kimlik bilgilerini elde etmek için müşterinin çalışanlarına bir kimlik avı saldırısı oluşturmaya çalıştı.
Hesapların tümü MFA ile yapılandırıldığından, mr.d0x, aşağıdakileri kullanarak bir kimlik avı saldırısı düzenledi: Evilginx2 kimlik bilgilerini ve MFA kodlarını çalmak için ters proxy görevi gören saldırı çerçevesi.
Testi yürütürken araştırmacı, Google’ın ters proxy’leri veya ortadaki adam (MiTM) saldırılarını tespit ederken oturum açmayı engellediğini buldu.
mr.d0x, BleepingComputer’a bunun yeni bir Google tarafından eklenen güvenlik özelliğie 2019’da, özellikle bu tür saldırıları önlemek için.

Kaynak: mr.d0x
Araştırmacı ayrıca BleepingComputer’a LinkedIn gibi web sitelerinin ortadaki adam (MiTM) saldırılarını tespit ettiğini ve başarılı oturum açtıktan sonra hesapları devre dışı bırakıns.
Bu engelin üstesinden gelmek için mr.d0x, saldırganın sunucusunda çalışan ancak kurbanın tarayıcısında gösterilen e-posta oturum açma istemlerini görüntülemek için noVNC uzaktan erişim yazılımını ve kiosk modunda çalışan tarayıcıları kullanan yeni bir dolambaçlı kimlik avı tekniği geliştirdi.
VNC, uzak kullanıcıların oturum açmış bir kullanıcının masaüstüne bağlanmasına ve kontrol etmesine izin veren bir uzaktan erişim yazılımıdır. Çoğu kişi, uzak masaüstünü Windows Uzak Masaüstü’ne benzer şekilde açan özel VNC istemcileri aracılığıyla bir VNC sunucusuna bağlanır.
Bununla birlikte, noVNC adlı bir program, kullanıcıların yalnızca bir bağlantıyı tıklatarak bir tarayıcının içinden doğrudan bir VNC sunucusuna bağlanmasına olanak tanır; bu, araştırmacının yeni kimlik avı tekniği devreye girdiğinde gerçekleşir.
“Öyleyse, kimlik bilgilerini çalmak ve 2FA’yı atlamak için noVNC’yi nasıl kullanırız? NoVNC’li bir sunucu kurun, Firefox’u (veya başka bir tarayıcıyı) kiosk modunda çalıştırın ve kullanıcının kimliğini doğrulamasını istediğiniz web sitesine gidin (örneğin, hesaplar.google .com),” açıklıyor mr.d0x tarafından yeni rapor yeni kimlik avı tekniği hakkında.
“Bağlantıyı hedef kullanıcıya gönderin ve kullanıcı URL’yi tıkladığında, farkında olmadan VNC oturumuna erişecekler. Ve Firefox’u zaten kiosk modunda kurduğunuz için, tüm kullanıcı beklendiği gibi bir web sayfası görecek. “
Bu yapılandırmayı kullanarak, bir tehdit aktörü, hedefin tarayıcısını otomatik olarak başlatan ve saldırganın uzak VNC sunucusunda oturum açan bağlantılar içeren hedefli hedefli kimlik avı e-postaları gönderebilir.
Bu bağlantılar son derece özelleştirilebilir ve saldırganın aşağıdakiler gibi şüpheli VNC oturum açma URL’leri gibi görünmeyen bağlantılar oluşturmasına olanak tanır:
Example[.]com/index.html?id=VNCPASSWORD
Example[.]com/auth/login?name=password
Saldırganın VNC sunucusu, tarayıcıyı tam ekran modunda çalıştıran kiosk modunda bir tarayıcı çalıştıracak şekilde yapılandırıldığından, kurban bir bağlantıya tıkladığında, hedeflenen e-posta hizmeti için bir oturum açma ekranı görecek ve normal şekilde oturum açacaktır.

Kaynak: mr.d0x
Ancak, oturum açma istemi gerçekte saldırganın VNC sunucusu tarafından görüntülendiğinden, tüm oturum açma girişimleri doğrudan uzak sunucuda gerçekleşecektir. mr.d0x, BleepingComputer’a, bir kullanıcı hesaba giriş yaptığında, bir saldırganın kimlik bilgilerini ve güvenlik belirteçlerini çalmak için çeşitli araçlar kullanabileceğini söyledi.
Daha da tehlikelisi, bu teknik MFA’yı atlayacak, çünkü kullanıcı bir kerelik şifreyi doğrudan saldırganın sunucusuna girerek cihazı gelecekteki oturum açma girişimleri için yetkilendirecek.
“Bu benim sunucum olduğu için elimde pek çok hile olabilir, örneğin bu tarayıcıya bağlı burp paketim veya başka bir HTTP proxy’m olduğunu ve oluşan tüm HTTP isteklerini yakaladığını söyleyin. Kullanıcı bittiğinde istekleri kontrol edebilirim ve kullanıcı adını, şifreyi ve oturum belirtecini alın,” mr.d0x saldırı hakkında bir konuşmada BleepingComputer’a söyledi.
Başka bir alternatif, kimlik avı bağlantısını göndermeden önce tarayıcıya JS enjekte etmem olabilir. Kullanıcı tarayıcıyı kullanmaya başladığında benim JS’mi çalıştırıyor. Günün sonunda kullanıcı sunucunuzda kimlik doğrulaması yaptığı için daha birçok seçenek var.”
bay.d0x
Saldırı, yalnızca birkaç kişiyi hedeflemek için sınırlı olarak kullanılıyorsa, saldırganın VNC oturumu üzerinden e-posta hesaplarına giriş yapmak, cihazın gelecekte hesaba bağlanmasına izin verecektir.
VNC, birden fazla kişinin aynı oturumu izlemesine izin verdiği için, bir saldırgan hesap oturum açtıktan sonra kurbanın oturumunun bağlantısını kesebilir ve hesaba ve tüm e-postalarına erişmek için daha sonra aynı oturuma bağlanabilir.
Bu saldırı gerçek dünya saldırılarında kullanılmamış olsa da araştırmacı BleepingComputer’a saldırganların gelecekte bunu kullanacağına inandığını söyledi.
Kendinizi bu tür saldırılardan nasıl koruyacağınızla ilgili olarak, tüm kimlik avı önerileri aynı kalır: Bilinmeyen göndericilerden gelen URL’lere tıklamayın, yerleşik bağlantıları olağandışı alan adları için kontrol edin ve tüm e-postaları, özellikle giriş yapmanızı isterse, şüpheli olarak değerlendirin. hesabınıza.