Was ist ein Adversary-in-the-Middle-Angriff (AITM)?

Wir haben alle von einem Man in the Middle (MitM) -Angriff gehört, und die meisten von uns kennen das Konzept eines Hackers, der "in der Mitte" zweier Parteien sitzt, die glauben, direkt miteinander zu kommunizieren. In diesem Beitrag werden wir über Angriffe von Adversary in the Middle (AiTM) sprechen, die dieselbe Taktik nutzen, bei denen jedoch ein böser Akteur effektiv das Verhalten des ahnungslosen Benutzers widerspiegelt und versucht, die Anmeldeinformationen und die Sitzungscookies aus dem Authentifizierungsteil des Anmeldevorgangs zu stehlen. Hinterhältig. Über diese Art von Angriff wurde in den letzten Monaten viel gesprochen und von einigen Kommentatoren als Angriff gefeiert, der die Authentifizierung "umgehen" oder die MFA (Multi Factor Authentication) betrügen kann. Natürlich hängt das alles von der Architektur Ihrer MFA ab, wie wir zeigen werden.

Wie funktioniert Adversary in The Middle (AiTM)?

AiTM sorgte bereits im Juli letzten Jahres für Schlagzeilen in der Cybersicherheitspresse, als das Microsoft 365 Defender Research Team über einen groß angelegten Angriff berichtete, der bei mehr als 10.000 Organisationen eingeführt wurde und sich an Office 365-Benutzer richtete, indem die Office Online-Authentifizierungsseite gefälscht wurde.

Die Hacker waren in der Lage, Benutzer, die in einer Sitzung angemeldet waren, zu kapern und den Authentifizierungsprozess vollständig zu überspringen. Dazu wird ein Webserver bereitgestellt, der die Anfragen des Benutzers an die Phishing-Website und wieder zurück weiterleitet. Unterwegs stiehlt der Widersacher das Authentifizierungstoken von der echten Website. Der einzige Unterschied zwischen der "falschen" Seite und der echten Seite ist die URL - alles andere bleibt beim Alten. Der Gegner kopiert lediglich die Informationen zwischen dem Benutzer und der realen Website hin und her.

Phishing als Dienstleistung - Evilginx

Du musst es ihnen lassen - AiTM ist clever. Hacker werden immer raffinierter und jeder, der im Cyberbereich arbeitet, wird sich bewusst sein, dass es sich wie ein Katz- und Mausspiel anfühlt. Mit der Weiterentwicklung der Technologie und des Niveaus und der Komplexität des Schutzes ändern sich auch die Taktiken der böswilligen Akteure und sogar ihre eigenen Apps, Tools und Programme. Angriffe von Adversary in the Middle können sogar automatisiert werden. Es gibt Open-Source-Phishing-Toolkits wie Gophish, Evilginx2, Modlishka und Muraena, die praktisch "Phishing as a Service" anbieten. Mit diesem Toolkit kann jeder das Phishing mit Anmeldeinformationen automatisieren.

Demonstration "Widersacher in der Mitte"

Hier bei IDEE HQ testen wir dieses Zeug gerne auf die Probe. Wir haben Evilginx in die Finger bekommen und in unseren eigenen Penetrationstests versucht, Microsoft Authenticator und dann AuthN zu durchbrechen. Unten finden Sie zwei Videos, eines zeigt den Angriff auf Microsoft Authenticator und das andere mit unserer eigenen AuthN MFA.

Wenn es mit Microsoft Authenticator zu tun hat, ist der Angriff effektiv, und Sie können sehen, wie das Token dem ahnungslosen Benutzer gestohlen wird und wie der Hacker es einfach verwenden kann, um sich auf der echten Website anzumelden, nachdem er auch den Benutzernamen und das Passwort des Benutzers erfasst hat. Es wird alles erschreckend schnell ausgeführt.

In unserem zweiten Video haben wir es mit AuthN versucht. Sie können den Evilginx-Server, den Browser des Benutzers und den Authentifizierungsprozess Seite an Seite in Echtzeit verfolgen. Mit AuthN gelingt es dem Angreifer nicht, den Benutzernamen oder das Passwort abzurufen oder das Sitzungs-Cookie zu sammeln, sodass er den Authentifizierungsprozess nicht umgehen kann.

Video - Evilginx im Vergleich zu Microsoft Authenticator

‍

Video - Evilginx gegen AuthN von IDEE

(Erfolgreicher) Gegner im Mittelangriff, Schritt für Schritt:

1. Der Gegner (Angreifer) stellt einen Proxyserver zwischen einem Ziel (Benutzer) und einer Website bereit.
2. Der Proxyserver fängt die Anmeldeinformationen des Benutzers (Benutzername und Passwort) und das Sitzungscookie ab. Sitzungscookies werden verwendet, um den Status einer Benutzersitzung nachzuweisen, sodass der Benutzer nicht bei jeder neuen Seite, die er auf der Website besucht, authentifiziert werden muss.
3. Das abgefangene Sitzungscookie wird in den Browser des Widersachers eingefügt, um auf das Konto des Benutzers zuzugreifen, ohne dass eine Authentifizierung erforderlich ist, auch wenn MFA aktiviert ist. Dies liegt daran, dass die Sitzungscookies der Website (dem Webserver) gegenüber nachweisen, dass der Benutzer bereits authentifiziert wurde und eine laufende Sitzung auf der Website hat. Daher ist keine weitere Authentifizierung erforderlich.

Die Auswirkungen eines erfolgreichen Phishing-Angriffs

Wie bei allen Phishing-Angriffen sind die größten Auswirkungen fast immer finanzielle Verluste und Reputationsschäden. Dies geschieht nicht nur durch Zahlungsbetrug oder Ransomware, sondern kann auch durch Geschäftsunterbrechung, Bußgelder bei Nichteinhaltung der Vorschriften oder zusätzliche Auswirkungen auf die Versicherungsprämien verursacht werden. Phishing-Angriffe kosteten Unternehmen 2022 durchschnittlich 4,91 Millionen US-Dollar, so ein Bericht von IBM. Im Fall der von Microsoft hervorgehobenen Angriffe starteten die Angreifer, nachdem sie Zugriff auf E-Mail-Konten erlangt hatten, Zahlungsbetrugskampagnen, um ihre Opfer dazu zu verleiten, illegale Zahlungen mit gefälschten Rechnungen zu tätigen. Darüber hinaus waren die Angreifer auch in der Lage, ihre Spuren zu verbergen. Mit vollem Zugriff auf E-Mails können die Angreifer Regeln hinzufügen, um ihre Kommunikation in Archivordnern zu verstecken und auch alle ursprünglichen Phishing-E-Mails zu löschen. Der echte Kontoinhaber ist sich dessen nicht bewusst.

Letztlich kann der Gegner mit vollem Zugriff jede Aufgabe innerhalb des Kontos ausführen. Sie können Malware (wie Ransomware) installieren, Systeme sabotieren, Konten übernehmen oder einfach Daten oder geistiges Eigentum stehlen.

Wie können sich Organisationen vor AiTM schützen?

Die meisten Unternehmen sind der Ansicht, dass jede MFA ausreichend Schutz bietet, und wir sind uns einig, dass jede MFA besser ist als keine MFA. Unternehmen und Dienstleister müssen jedoch allmählich erkennen, dass nicht alle MFA gleich sind. Tatsächlich wurde in einem kürzlich auf der Black Hat World gehaltenen Vortrag enthüllt, dass Experten davon überzeugt sind, dass 90% bis 95% der MFA mit Phishing-Angriffen umgangen und umgangen werden können. Daher ist es wichtig, anzuerkennen, dass nicht alle MFA vor allen Arten von Phishing mit Anmeldeinformationen und passwortbasierten Angriffen schützen können. Um umfassenden Schutz zu erhalten, sollten Unternehmen auf Folgendes achten : Phishing-sicheres MFA.

Wenn Sie mit uns über eines der in diesem Artikel behandelten Themen sprechen möchten, wenden Sie sich bitte an wenden Sie sich an unsere MFA-Experten.