DEV-1101 عامل تهدیدی است که اخیرا وظیفه توسعه و پشتیبانی و همچنین تبلیغات چندین کیت فیشینگ AiTM را بر عهده دارد و سایر مجرمان سایبری نیز امکان خرید و اجاره آنها را دارند. فیشینگ AiTM قادر به دور زدن احراز هویت چند عاملی از طریق عملکرد معکوس پروکسی می باشد و به نوعی جایگزین بسیاری از ابزار فیشینگ قدیمی تر شده است.
DEV-1101 کیت فیشینگ AiTM خود را در سال 2022 از طریق یک تبلیغ در یک کانال تلگرام ارائه کرد. در آن تبلیغ، کیت AiTM به عنوان یک برنامه فیشینیگ نوشته شده در NodeJS با قابلیت پروکسی معکوس، راه اندازی خودکار، مدیریت فعالیت فیشینگ از طریق ربات های تلگرام و … نام برده شد. از آن زمان تا کنون چندین بروزرسانی را برای بهبود عملکرد آن انجام داده است از جمله جدیدترین قابلیت های اضافه شده به این کیت، توانایی مدیریت کمپین ها به وسیله تلفن همراه می باشد.قابلیت های اضافه شده به این کیت باعث شده تا برای بسیاری از عوامل تهدید جذاب باشد و هر کدام از این گروه ها با اهداف و انگیزه های متفاوت از آن استفاده نمایند.
یکی از مهم ترین قابلیت های این کیت استفاده از CAPTCHA برای فرار از شناسایی شدن می باشد به این صورت که عامل تهدید با قرار دادن یک صفحه CAPTCHA در دنبال فیشینگ می تواند رسیدن به فیشینگ نهایی را برای سیستم های خودکار دشوار تر کند.
از دیگر فعالیت هایی که این کیت توانایی انجام آن را دارد، ضبط و آرشیو سازی اطلاعات قربانی در مرحله اول می باشد. در صورتی که قربانی احراز هویت چند عاملی را فعال کرده باشد، کیت AiTM به عنوان یک پروکسی بین کاربر و سرویس ورود به سیستم کاربر به کار خود ادامه می دهد به این معنا که وقتی قربانی یک ورود به سیستم احراز هویت را تکمیل می کند، سرور، session cookie را capture می کند سپس مهاجم می تواند احراز هویت چند عاملی را با session cookie و اعتبار سرقت شده bypass کند.
راه هایی برای کاهش این خطر پذیری
- آموزش کاربران برای کلیک نکردن روی لینک های مشکوک
- نظارت برفایروال ها برای مشاهده جهش های غیرعادی در داده هایی که از شبکه خارج می شوند.
- نظارت بر نرم افزارهای نصب شده برای ابزارهای دسترسی از راه دور
روش های تشخیص این حمله
در صورت استفاده از راهکار شناسایی و پاسخ در نقطه پایانی (XDR) و تحلیل فعالیت های مرتبط، هشدارهای زیر مشاهده می گردد:
- مشاهده فعالیت مرتبط با AiTM
این تهدید از تکنیک های زیر که در جدول مایتراتک موجود می باشد استفاده نموده است.
شرکت مهندسی امن ارتباط سینداد کلیه IOA و IOC های مرتبط با تشخیص این حمله را به سامانه های خود افزوده است.
| Reconnaissance | Initial Access | Defense Evasion | Credential Access | Collection | Command and Control | Impact |
| Active Scanning | Drive-by Compromise | Abuse Elevation Control Mechanism | Adversary-in-the-Middle | Adversary-in-the-Middle | Application Layer Protocol | Account Access Removal |
| Gather Victim Host Information | Exploit Public-Facing Application | Access Token Manipulation | Brute Force | Archive Collected Data | Communication Through Removable Media | Data Destruction |
| Gather Victim Identity Information | External Remote Services | BITS Jobs | Credentials from Password Stores | Audio Capture | Data Encoding | Data Encrypted for Impact |
| Gather Victim Network Information | Hardware Additions | Build Image on Host | Exploitation for Credential Access | Automated Collection | Data Obfuscation | Data Manipulation |
| Gather Victim Org Information | Phishing | Debugger Evasion | Forced Authentication | Browser Session Hijacking | Dynamic Resolution | Defacement |
| Phishing for Information | Replication Through Removable Media | Deobfuscate/Decode Files or Information | Forge Web Credentials | Clipboard Data | Encrypted Channel | Disk Wipe |
| Search Closed Sources | Supply Chain Compromise | Deploy Container | Input Capture | Data from Cloud Storage | Fallback Channels | Endpoint Denial of Service |
| Search Open Technical Databases | Trusted Relationship | Direct Volume Access | Modify Authentication Process | Data from Configuration Repository | Ingress Tool Transfer | Firmware Corruption |
| Search Open Websites/Domains | Valid Accounts | Domain Policy Modification | Multi-Factor Authentication Interception | Data from Information Repositories | Multi-Stage Channels | Inhibit System Recovery |
| Search Victim-Owned Websites | Execution Guardrails | Multi-Factor Authentication Request Generation | Data from Local System | Non-Application Layer Protocol | Network Denial of Service | |
| Exploitation for Defense Evasion | Network Sniffing | Data from Network Shared Drive | Non-Standard Port | Resource Hijacking | ||
| File and Directory Permissions Modification | OS Credential Dumping | Data from Removable Media | Protocol Tunneling | Service Stop | ||
| Hide Artifacts | Steal Application Access Token | Data Staged | Proxy | System Shutdown/Reboot | ||
| Hijack Execution Flow | Steal or Forge Authentication Certificates | Email Collection | Remote Access Software | |||
| Impair Defenses | Steal or Forge Kerberos Tickets | Input Capture | Traffic Signaling | |||
| Indicator Removal | Steal Web Session Cookie | Screen Capture | Web Service | |||
| Indirect Command Execution | Unsecured Credentials | Video Capture | ||||
| Masquerading | ||||||
| Modify Authentication Process | ||||||
| Modify Cloud Compute Infrastructure | ||||||
| Modify Registry | ||||||
| Modify System Image | ||||||
| Network Boundary Bridging | ||||||
| Obfuscated Files or Information | ||||||
| Plist File Modification | ||||||
| Pre-OS Boot | ||||||
| Process Injection | ||||||
| Reflective Code Loading | ||||||
| Rogue Domain Controller | ||||||
| Rootkit | ||||||
| Subvert Trust Controls | ||||||
| System Binary Proxy Execution | ||||||
| System Script Proxy Execution | ||||||
| Template Injection | ||||||
| Traffic Signaling | ||||||
| Trusted Developer Utilities Proxy Execution | ||||||
| Unused/Unsupported Cloud Regions | ||||||
| Use Alternate Authentication Material | ||||||
| Valid Accounts | ||||||
| Virtualization/Sandbox Evasion | ||||||
| Weaken Encryption | ||||||
| XSL Script Processing |
