Share
Beitragsbild zu Aufkommende Identitätsbedrohungen: Die trüben Gewässer der Residential Proxies

Aufkommende Identitätsbedrohungen: Die trüben Gewässer der Residential Proxies

Während sich die Ziele der verschiedenen Angreifergruppen im Laufe der Zeit vielleicht nicht drastisch ändern, so doch ihre TTPs. Effektive Techniken für den Erstzugriff, die Aktivitäten nach der Authentifizierung und die Verweildauer in einem Zielsystem sind das A und O eines Angreifers. Das Klischee der „aufkommenden Bedrohungen“ ist in Wirklichkeit eine unscharfe Grenze zwischen einfachen IOCs und hochmodernen Techniken.

In diesem Blog-Beitrag werden wir die einzigartigen Aspekte der zunehmenden Verwendung von Wohn-Proxys bei Identitäts-Phishing-Angriffen untersuchen. Wir gehen auf einige IOCs ein, die Sie in Ihrer eigenen Umgebung überprüfen können, und behandeln einige Strategien zur Erkennung aktueller und neuer Trends bei diesen Angriffen.

Unsere Beobachtungen

In den letzten Wochen hat Obsidian bei mehreren gezielten Angriffen eine Reihe von einzigartigen Merkmalen beobachtet, die sie von anderen Angriffen ähnlicher Art unterscheiden.

  • Proxy-Nutzung von Privatpersonen: Phishing-Kits und -Dienste machen sich Proxy-Netzwerke zunutze, die eine Vielzahl von privaten IPs verwenden. Um sich der Erkennung zu entziehen und die Zugangskontrollrichtlinien zu umgehen, können Angreifer in derselben Stadt wie ein Opfer auftreten und gleichzeitig von einem privaten Internetanbieter wie Comcast, Cox, T-Mobile, Verizon usw. kommen. Dies verschafft den Angreifern einen Vorteil im Gegensatz zu IP-Räumen, die mit privaten VPNs oder Hosting-Infrastrukturen verbunden sind, die von den Verteidigern leichter zu identifizieren sind. Sie können sich vorstellen, dass dies die Erkennungstechnik, die Sicherheitsoperationen und die Reaktion auf Vorfälle erschwert.
  • „Zscaler Inc.“ ISP hat eine bösartige Sitzung eingefädelt. Proxynetzwerke in Privathaushalten bestehen aus willigen und unwilligen Parteien, die ihre Bandbreite und IP an andere Benutzer vermieten. Es gibt eine Vielzahl von Möglichkeiten, wie diese Netzwerke aufgebaut, eingesetzt und genutzt werden, die in einem Blogbeitrag von Sekoia ausführlich beschrieben wurden. Die Opferorganisation war kein zahlender Kunde von Zscaler, aber wir sehen, dass dieser ISP in einer der kompromittierten Anmeldesequenzen auftaucht, die mit denen anderer echter Positivmeldungen übereinstimmen, die alle über private Proxy-IPs gingen. Soweit wir wissen, kann Zscaler über den Zscaler Client Connector in einem VPN-Modus eingerichtet werden. Dadurch kann technisch gesehen der gesamte Datenverkehr eines Rechners durch die Zscaler-Infrastruktur geleitet werden, möglicherweise einschließlich des Datenverkehrs von einem privaten Proxy-Agenten oder des Datenverkehrs über einen kompromittierten Host. Die von uns getesteten Proxy-Agenten für Privatanwender waren in der Lage, die IPs von Privatanwendern von den IPs der Infrastruktur zu unterscheiden und den Datenverkehr nur über die IPs zu leiten, die sie als Privatanwender klassifizierten. Da es sich jedoch nicht um einen umfassenden Test handelte, können wir die Möglichkeit nicht vollständig ausschließen, dass die Zscaler-IP von einem freiwilligen Proxy-Agenten stammt. Unabhängig davon, ob es sich um einen Proxy-Agenten für Privatanwender oder einen kompromittierten Host handelt, können IPs von Privatanwendern, gemischt mit IPs von Sicherheitsgateways, aus offensichtlichen Gründen die Dinge weiter komplizieren…
  • Veralteter Benutzer-Agent. Zusätzlich zur Verwendung von Residential Proxies haben die Angreifer einen veralteten Chrome User Agent aus dem Jahr 2019 verwendet. Während die Erkennung von Phishing über private Proxys eine Herausforderung darstellt, hat dieser einfache IOC eine sehr hohe Erfolgsrate bei der Identifizierung dieser Angriffe.
    Konsistenzen bei Phishing-Anmeldesequenzen über mehrere Mieter hinweg. Bei der Untersuchung der veralteten User-Agent-Zeichenfolge über unsere Mieter hinweg fiel uns eine konsistente Abfolge im Strom der Anmeldeereignisse während des Phishing-Versuchs auf. Der folgende Screenshot zeigt abwechselnde Sprünge in den Chrome-Versionen 78 und 105. Diese Muster waren über mehrere Angriffe hinweg konsistent, wenn der Benutzeragentenstring von Chrome 78 die Anmeldesequenz einleitete.

  • OAuth-Integrationen, die den EWS.AccessAsUser.All-Bereich nutzen. Obsidian hat Einblicke in Tausende von einzigartigen Integrationen, die von Unternehmen für ihre Geschäftsabläufe genutzt werden. Dies sind großartige Werkzeuge für Angreifer, und zwei häufige Anwendungen, die wir sehen, sind „eM Client“ und „PERFECTDATA SOFTWARE“. Die von diesen Anwendungen bereitgestellten Funktionen in Verbindung mit ihrem Umfang machen sie zu attraktiven Werkzeugen für Angreifer. Fast jedes Mal, wenn wir diese Anwendungen sehen, sind sie mit einem bösartigen Akteur verbunden. Diese Art von Taktik ist nicht neu, und Berichte über ihre Verwendung durch böswillige Akteure begannen im Jahr 2023 in einem von Darktrace veröffentlichten Blogbeitrag und einem weiteren Blogbeitrag eines unabhängigen Forschers. Obwohl diese IOCs einfach und etwas veraltet sind, können sie oft ein wirksames Signal sein, das nicht auf die Erkennung fortgeschrittener TTPs angewiesen ist.
Nutzung von Identity Triage

Dank Residential Proxies werden unsere einst zuverlässigen Erkennungen von Geoanomalien bei der Aufdeckung von Aktivitäten des Gegners weniger effektiv sein. Die Erkennung von Geo-Anomalien ist nur ein Aspekt der Kill Chain, und es reicht nicht aus, sich nur darauf zu verlassen. Wir haben dieses Thema in einem früheren Blog-Beitrag mit dem Titel „Rethinking Identity Threat Detection“ beleuchtet: Verlassen Sie sich nicht auf die IP-Geolokalisierung“.

In Zukunft müssen wir einen identitätszentrierten Ansatz verfolgen, bei dem die Bewertung der Gesamtaktivität eines Benutzers im Vordergrund steht, anstatt nur auf einzelne Warnmeldungen zu reagieren. Mit dieser Methode können wir verdächtige Kontoverhaltensweisen besser erkennen und vermeiden, dass wir uns in den Kleinigkeiten und Grenzfällen verzetteln, die eine einzelne Warnung darstellen könnte.

Der folgende Screenshot ist ein Beispiel dafür, wie eine identitätszentrierte Triage-Methode dabei hilft, eine Kompromittierung zu verstehen, ohne sich in der Komplexität neuer TTPs zu verzetteln. Wenn Sie verdächtige Aktivitäten genau beobachten, da sie sich vom Basisverhalten einer Identität unterscheiden, können Sie die Kompromittierung einer Identität leichter erkennen.

BY NOAH CORRADIN

Quelle: Obsidian Security-Blog


Ihr Kontakt zu uns:

Pascal Cronauer, Regional Sales Director, Central Europe @Obsidian Security | SaaS Security | SSPM | Threat Mitigation | Integration Risk Mgmt

Marko Kirschner, Technical Enthusiast @Obsidian Security

Kontaktieren Sie uns

Sind Sie neugierig auf umfassende SaaS-Sicherheit?
Sagen Sie uns, wie wir helfen können.

Firma zum Thema

LogRhythm

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden