生成的データ インテリジェンス

サイバーセキュリティ

攻撃者が Google OAuth エンドポイントを悪用してユーザー セッションをハイジャック

プラトンによって再発行
プラトンによって再発行

日付:

閲覧数: 0

攻撃者は文書化されていない Google を悪用しています OAuth エンドポイントを使用してユーザー セッションをハイジャックし、パスワードのリセット後でも Google サービスへの継続的なアクセスを許可します。

「Prisma」と呼ばれる脅威アクターが、「トークン操作を通じて永続的な Google Cookie の生成を可能にする」という重大なエクスプロイトを発見しました。 最近のブログ記事 CloudSEK の脅威インテリジェンス研究者、Pavan Karthick M による。

次のような著名な情報窃取者 ルマ および ラダマンティス その後、Lumma の背後にいる攻撃者がスクリプトをリバース エンジニアリングし、高度なブラックボックス化技術を使用して方法論を改善した後、この機能をマルウェアに統合しました。

「これは波及効果の始まりとなり、このエクスプロイトは独自の機能と同等の機能を維持するためにさまざまなマルウェア グループに急速に広がりました」と Karthick M 氏は書いています。

CloudSEK の研究者は、10 月に Prisma が Telegram チャンネルで、Google アカウント セッションでの一般的なセキュリティ対策をバイパスする方法を明らかにする発表を行ったときに、ゼロデイ エクスプロイトについて知りました。

この方法には 2 つの重要な機能があります。アカウントのパスワードが変更されてもユーザーの Google セッションは有効なままであり、Gmail や他のアカウントへの継続的なアクセスが保証されます。また、セッションが中断された場合に誰かが有効な Cookie を生成する可能性があるため、「攻撃者の不正アクセスを維持する能力」が強化されると Karthick M 氏は投稿で述べています。

皮肉なことに、CloudSEK の脅威調査チームは、Prisma 自体 (およびエクスプロイトが埋め込まれたマルウェアの独自のリバース エンジニアリング) との協力を通じて、「MultiLogin」という名前の文書化されていない Google Oauth エンドポイントにエクスプロイトのルートがあることを特定しました。

OAuth サイバーリスクと報酬

OAuth は、クロスプラットフォーム アクセスのために 2007 年から使用されているオープン認証標準です。その一例として、Web サイト全体で使用される「Google でログイン」機能があります。 OAuth を使用すると、アプリケーションは、ユーザーが設定したアクセス許可に基づいて、他の信頼できるオンライン サービスやサイトのデータやリソースにアクセスできるようになり、サイト間の認証ハンドオフを担当するメカニズムです。

この標準は確かに便利ですが、正しく実装されていない場合は組織にリスクももたらします。また、攻撃者が脆弱なインスタンスや標準自体を悪用する方法は数多くあります。たとえば、セキュリティ研究者は、 欠陥が見つかりました その実装では、次のような主要なオンライン サービス プラットフォームが公開されています。 Booking.com および 他人 攻撃する。一方で、自分が作成した悪意のある OAuth アプリを使用している人もいます Microsoft Exchangeサーバーを侵害する.

CloudSEK によると、Google エンドポイントの場合、Prisma によって発見された OAuth エクスプロイトは、Google Chrome の token_service テーブルをターゲットにして、ログインしている Chrome プロファイルのトークンとアカウント ID を抽出します。このテーブルには、「service (GAIA ID)」と「encrypted_token」というタイトルの 2 つの「重要な」列が含まれていると Karthick M 氏は説明しました。

「暗号化されたトークンは、パスワードの保存に使用される暗号化と同様に、UserData ディレクトリ内の Chrome の Local State に保存されている暗号化キーを使用して復号化されます」と同氏は書いています。

CloudSEK は、Chromium のソース コードを使用して、サービス間で Google アカウントを同期するために設計された内部メカニズムとして MultiLogin エンドポイントを特定し、ブラウザ アカウントの状態が Google の認証 Cookie と一致するようにすることで、一貫したユーザー エクスペリエンスを促進しました。

「このエンドポイントは、アカウント ID と認証ログイン トークンのベクトルを受け入れることによって動作します。これらのデータは、同時セッションの管理やユーザー プロファイル間のシームレスな切り替えに不可欠なデータです」と Karthick M 氏は書いています。このように、これは Google の OAuth システムの重要な部分であり、アカウント ID と認証ログイン トークンのベクトルを受け入れると彼は説明しました。

マルチログインの悪用

ただし、マルチログインの「ユーザー認証における重要な役割」は、アカウント間の通信が誤って処理されると悪用される可能性があります。 CloudSEK は、この悪用がどのように行われるかを明らかにするために、このエクスプロイトを使用する手法を開発した最初の情報窃取者である Lumma のアプローチを分析しました。

「Lumma のアプローチは、Google の認証プロセスの重要なコンポーネントであるトークンと GAIA ID のペアの微妙な操作にかかっています」と Karthick M 氏は説明しました。

このペアを MultiLogin エンドポイントと組み合わせて使用​​すると、Google サービス Cookie の再生成が可能になります。しかし、Lumma はこのトークンと GAIA ID のペアを独自の秘密鍵で暗号化し、これにより悪用プロセスが事実上「ブラックボックス化」され、中核的な仕組みが秘密に保たれました。

このブラックボックス化は、おそらく 2 つの目的で行われたと考えられます。1 つは、エクスプロイトの中核メカニズムをマスクすることで、他の脅威アクターによる複製を困難にすることです。 CloudSEK によると、標準のセキュリティ プロトコルでは暗号化されたトラフィックを見落とし、正規のものと誤認する傾向があるため、ネットワーク セキュリティ システムでアラームがトリガーされる可能性も低くなります。

最終的に、トークンと GAIA ID のペアを操作することで、Lumma が Google サービスの Cookie を継続的に再生成できるようになり、この悪用はユーザーがパスワードをリセットした後でも有効であったことが CloudSEK によって判明しました。 「このアクセスの持続により、ユーザー アカウントとデータが長期間にわたって気づかれないまま悪用される可能性があります」と Karthick M 氏は書いています。

さらに、Google の IP ベースの Cookie 再生成制限を回避するために SOCKS プロキシの使用を導入した Lumma のその後のエクスプロイトの適応により、その技術の詳細の一部が不用意に暴露されてしまいました。 CloudSEK によると、これにより、Rhadamanthys、Risepro、Meduza、Stealc Stealer、そして最近では 26 月 XNUMX 日に White Snake を含む他の情報窃取者がこのエクスプロイトを採用する道が開かれました。

サイバー攻撃者の巧妙化により対応が求められる

CloudSEK によると、最終的に、エクスプロイトの主要コンポーネントを暗号化するという Lumma 脅威攻撃者の戦術的決定は、サイバー脅威のステルス性の向上と洗練された性質を示しており、その行動は防御側にも戦略を強化することを要求しています。

「これはマルウェア開発の状況の変化を意味しており、エクスプロイト自体の有効性だけでなく、エクスプロイト手法の隠蔽と保護にもますます重点が置かれています」と Karthick M 氏は書いています。

この高度な動作は、組織が新たなサイバー脅威に先んじるために、技術的脆弱性と人的情報源の両方を継続的に監視する必要性を浮き彫りにしている、と Karthick M 氏は書いています。「高度なエクスプロイトを発見し理解するには、両者の連携が不可欠です。」 」

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.