Datum: 

MFA-Phishing als Initial Access im Red Teaming

1. Allgemeines

Phishing ist eine der größten Cyber-Bedrohungen, welche häufig als Einfallstor von kriminellen Gruppierungen verwendet wird (siehe T1566 – Phishing, MITRE ATT&CK Framework).

Beim klassischen Phishing erstellt ein Cyber-Krimineller eine gefälschte Website, die optisch einer legitimen Seite ähnelt. Anschließend sendet er einen aufbereiteten Einleitungstext, inklusive Link zu seinem Angriffsziel.

Um eine Reaktion auf die Nachricht zu forcieren wird hierbei häufig eine Situation erzeugt, die Druck auf das potentielle Opfer ausübt. Dadurch wird das Opfer dazu verleitet die gefälschte Webseite aufzurufen und die Anmeldedaten (Benutzername und Passwort) einzugeben. Ein krimineller Akteur kann diese abgefangenen Anmeldedaten dann verwenden, um Zugang zu E-Mail-Konten oder Perimeter-Systemen (z.B. Firewalls oder VPN-Gateways) zu erhalten. Infolgedessen können durch einen möglichen Zugriff auf das E-Mail-Konto der betroffenen Person persönliche Daten oder Betriebsgeheimnisse ausspioniert oder sogar exfiltriert werden. Diese und weitere Daten könnten dann im DarkNet für kriminelle Akteure zum Handel angeboten werden. Zu den häufigen Angriffszielen zählen Anwender von Cloud-Diensten, wie z.B. Microsoft-365 oder Social-Media-Plattformen. Insbesondere Zugänge zu Cloud-Infrastrukturen, welche durch Cyber-Kriminelle abgefangen werden, können als ein mögliches Einfallstor in das interne Netzwerk dienen.

Zum Schutz vor Phishing-Angriffen und dem Durchprobieren von Passwörtern (Brute-Force) wurde die Multi-Faktor-Authentifizierung (MFA) entwickelt, die sich als ein wirksamer Schutz erweist. Sie benötigt zusätzlich zur klassischen Anmeldung (mittels Benutzername und Passwort), einen oder mehrere Überprüfungsfaktoren, um einer Person den Zugang zu einem Onlinedienst zu gewähren. Dies erschwert es einem Angreifer, mittels entwendeter Passwörter einen Zugang zu Anwendungen zu erhalten.

Zur Umgehung der Multi-Faktor-Authentifizierung haben Angreifer das sogenannte „MFA-Phishing“ entwickelt. Diese Angriffstechnik konzentriert sich vorrangig auf das Abfangen von Session-Cookies, welche nach einer erfolgreichen Anmeldung ausgestellt werden. Anders als bei dem klassischen Session-Hijacking hat der Angreifer die Möglichkeit ohne größeren Aufwand, den Benutzernamen und das Passwort auszulesen. Darüber hinaus beschränkt sich das Auslesen nicht auf einen einzelnen Wert – es können mehrere Session-Cookies auf einmal extrahiert werden.

Für die Durchführung von MFA-Phishing nutzen Cyber-Kriminelle bekannte Open-Source-Frameworks wie beispielsweise Evilginx oder Modlishka.

Das klassische Phishing bei dem ein Anwender auf einen Link in einer Phishing-Mail klickt und auf eine speziell aufbereitete Seite weitergeleitet wird, wurde um eine Man-in-the-Middle (MitM) Technik erweitert. Die betroffene Person verbindet sich zunächst auf einen transparenten Proxy-Server (Webserver zwischen einer Person und der Zielwebseite) auf dem der Angreifer die Kommunikation mitliest.

Cyber-Kriminelle können infolgedessen über den Proxy-Server sensible Informationen mitlesen, da sämtliche Eingaben (z.B. Benutzername oder Passwort) zuerst bei dem Proxy-Server, zwar in verschlüsselter Form durch die Verwendung eines TLS-Zertifikats, eintreffen, aber da der verschlüsselte Kanal zwischen der Person und dem Proxy-Server aufgebaut wurde, kann dieser die Daten auch entschlüsseln (und protokollieren). Anschließend, erfolgt eine erneute Verschlüsselung der Daten, bevor diese an das eigentliche Ziel weitergeleitet werden.

Das folgende Schaubild stellt die Funktionsweise des transparenten Proxy-Servers (Evilginx) dar.

Abbildung 1: MFA-Phishing

Die detaillierte Vorgehensweise des MFA-Phishings ist wie folgt beschrieben:

  1. Die Person klickt auf den Link aus der Phishing-E-Mail und verbindet sich auf den Evilginx-Server.
  2. Der Evilginx-Server leitet die Person auf die legitime Anmeldeseite weiter.
  3. Die Person trägt die Anmeldedaten ein und sendet diese über den Evilginx-Server an die legitime Anmeldeseite.
  4. Der Evilginx-Server entschlüsselt die Kommunikation und liest die Anmeldedaten aus.
  5. Der Evilginx-Server verschlüsselt die Kommunikation und leitet den Anwender auf die legitime Anmeldeseite weiter.
  6. Die legitime Anmeldeseite fordert über den Evilginx-Server eine Multi-Faktor-Authentifizierung zur Echtheitsüberprüfung der Person an.
  7. Die Person sendet den Zwei-Faktor-Autorisierungscode (z.B. einen E-Mail-Token) über den Evilginx-Server an die legitime Anmeldeseite weiter.
  8. Der Evilginx-Server leitet die Anfrage an die legitime Anmeldeseite weiter.
  9. Die legitime Anmeldeseite prüft und bestätigt die Echtheit der Person. Sie erstellt einen Session-Cookie und sendet diesen über den Evilginx-Server an die Person.
  10. Der Evilginx-Server entschlüsselt die Kommunikation und fängt den Session-Cookie ab.
  11. Der Evilginx-Server verschlüsselt die Kommunikation und sendet den Session-Cookie an die Person.
  12. Der Angreifer besucht die legitime Webseite und importiert den gestohlenen Session-Cookie in den lokalen Webbrowser. Anschließend wird die legitime Webseite im Browser des Angreifers aktualisiert und die Identität des Opfers angenommen.

Das folgende Kapitel stellt die Vorgehensweise eines MFA-Phishing-Angriffs anhand eines Beispiels dar.

2. Demonstration eines MFA-Phishing-Angriffs am Beispiel „Nextcloud“

Zur Veranschaulichung wurde die Open-Source-Software Nextcloud genutzt, da sie in vielen Unternehmen als File-Sharing Lösung eingesetzt wird. Zudem bietet Nextcloud als MFA-Möglichkeit ein Time-based one-time Password (TOTP) an, bei welcher eine Authenticator-Anwendung benötigt wird. Wichtig zu erwähnen ist, dass die MFA-Lösung in der Regel deaktiviert ist und Nextcloud die Nutzung von Passkeys, einer alternativen, passwortlosen Anmeldemethode, empfiehlt.

Die TOTP-Lösung wurde in diesem Beispiel zu Demonstrationszwecken genutzt, um das Sicherheitsrisiko darzustellen. Eine Bewertung von gängigen MFA-Lösungen erfolgt in Kapitel 3.

Folgende Schritte werden zur Durchführung eines MFA-Phishing-Angriffs in der Regel unternommen:

2.1 Analyse der Zielseite

Im ersten Schritt analysiert der Angreifer den softwareseitigen Anmeldevorgang der Zielseite. Hierbei werden Informationen zu verschiedenen Anmeldeseiten gesammelt. Anschließend werden die Namen der Cookies und deren Inhalte überprüft, welche nach dem Anmeldevorgang ausgestellt werden.

Des Weiteren sucht der Angreifer nach möglichen implementierten Sicherheitsvorkehrungen, um beispielsweise nach der Wiederverwendung des gestohlenen Session-Cookies eine Sperrung des Benutzers auszuschließen.

Hinweis: 

Da es sich bei diesem Artikel um eine Beschreibung dieser Angriffe und keine Anleitung zur Durchführung eben solcher handelt, wurde auf eine weitergehende Darstellung der Analyse verzichtet.


2.2 Aufbau eines Phishlets

Anhand der in Kapitel 2.1 gesammelten Informationen wird ein sogenanntes Phishlet (Konfigurationsdatei für Evilginx) erzeugt, welches alle wichtigen Informationen beinhaltet, um den Phishing Angriff durchzuführen. Hierzu zählen z.B. der Name eines Cookies, die Zieldomäne, sowie sämtliche Unterseiten, auf denen die Authentifizierung und Autorisierung durchgeführt wird.

Wichtig zu erwähnen ist, dass bereits zahlreiche öffentlich nutzbare Phishlets existieren, welche entweder von Angreifern oder Sicherheitsforschern gepflegt werden.

Bei der Erstellung des Phishlets können Konfigurationen implementiert werden, die durch den Proxy-Server genutzt werden, um Manipulationen auf der Zielseite durchzuführen. So können Anpassungen von HTML- oder JavaScript-Elementen durchgeführt werden, um z.B. eine Angemeldet bleiben (Remember Me) Funktion zu aktivieren. Diese ermöglicht es einem Angreifer, eine Sitzung entweder dauerhaft (persistent) oder für einen längeren Zeitraum aufrecht zu erhalten.

Hinweis: 

Da es sich bei diesem Artikel um eine Beschreibung dieser Angriffe und keine Anleitung zur Durchführung eben solcher handelt, wurde auf die Darstellung des Aufbaus eines solchen Phishlets verzichtet.


2.3 Durchführung des MFA-Phishing-Angriffs

Der kriminelle Akteur sendet die Phishing-Mail an die Zielperson, welche den Link öffnet und sich auf den transparenten Proxy verbindet. Auf dem Proxy wird durch die Weiterleitung auf den Zielserver, die legitime Zielseite dargestellt.

Eine falsche Seite kann für das geschulte Auge anhand der URL (siehe Abbildung 2) oder mittels Zertifikatsinformationen erkannt werden. Wichtig zu beachten ist, dass Angreifer auch hierfür Wege nutzen, um die URL über ein sogenanntes „URL-Rewrite“ zu manipulieren. Dies hat zur Folge, dass die Phishing-URL in der Adresszeile mit der legitimen Adresse im Webbrowser überschrieben wird und die Person sich dennoch auf der Phishing Seite befindet. Dies erschwert die Detektion erheblich.

Abbildung 2: Vergleich zwischen falscher (rechts) und originaler Seite (links)

Anschließend wartet der Cyber-Kriminelle auf den Anmeldevorgang der Zielperson, bei welcher die gültigen Anmeldedaten und der TOTP-Code der Zwei-Faktor-Authentifizierung zur Echtheitsbestätigung eingegeben werden (siehe Abbildung 3 und 4).

Abbildung 3: Autorisierung via Authenticator

Abbildung 4: Anmeldeverlauf in Evilginx

Abbildung 5: Abgefangene Session-Cookies in Evilginx

Nachdem die Zielperson die Anmeldedaten eingegeben hat und die Authentifizierung abgeschlossen ist, erhalten die Cyber-Kriminellen den Benutzernamen, das Passwort und die relevanten Cookies (siehe Abbildung 5). Die ausgelesenen Cookies können anschließend in den lokalen Browser importiert werden.

Abbildung 6: Import der Session-Cookies im lokalen Browser


Abbildung 7: Aktualisierung des Browsersitzung
 Nachdem der Import der Cookies in den Browser durchgeführt und die Webseite aktualisiert wurde, hat der kriminelle Akteur nun die Identität der Zielperson angenommen (siehe Abbildung 6 und 7). Infolgedessen besteht hierdurch die Möglichkeit, Manipulationen an Dateien innerhalb der Cloud vorzunehmen oder Einblicke in sensible Informationen wie beispielsweise Betriebsgeheimnisse zu erhalten.

3. Sicherheitsbewertung

Eine der wichtigsten Fragen hierbei sind, welche Multi-Faktor Authentifizierungsarten gibt es und welche davon gelten derzeit als sicher?

Die folgenden bekannten MFA-Arten existieren:

  • E-Mail bzw. SMS-Token
  • FIDO2-Sicherheitsschlüssel (YubiKey, Passkeys)
  • Zeitbasiertes Einmalkennwort (Time-based one-time password / TOTP)

MFA-Methoden wie E-Mail- oder SMS-Token gelten als unsicher, da sie aufgrund ihrer technischen Implementierung besonders anfällig für Phishing sind. Besonders eine E-Mail-Authentifizierung ist anfällig für Hijacking-Angriffe, da bei der Übernahme eines E-Mail-Kontos (beispielsweise durch Durchprobieren von Passwörtern (Brute-Force) und fehlendem MFA beim E-Mail-Account) der Autorisierungscode ausgelesen und verwendet werden kann. 

FIDO2-Sicherheitsschlüssel gelten derzeit als sicher (Phishing-Resistent), da diese eine passwortlose Authentisierung über eine asymmetrische Verschlüsselung in Kombination mit einem Challenge-Response-Verfahren nutzen, wodurch der geheime Schlüssel bei einer Anmeldung nicht preisgegeben wird. Das Hauptmerkmal des FIDO2-Sicherheitsschlüssels ist es, dass der geheime Schlüssel im Hardware-Token gespeichert ist und nicht kopiert oder synchronisiert werden kann.

Passkeys werden zur passwortlosen Authentifizierung verwendet und dienen als Erweiterung des FIDO2-Sicherheitsschlüssels. Die wichtigsten Vorteile hierbei sind, dass sie in der Cloud synchronisiert, sowie auf mehreren Geräten verwendet werden können. Anders als beim FIDO2-Sicherheitsschlüssel, muss der Anwender sich für die Anmeldung anhand von Biometrischen Merkmalen (z.B. Gesichtsscan oder einem Fingerabdruck) über das Smartphone am Onlinedienst authentisieren.

4. Wichtiger Hinweis

Es gilt zu beachten, dass nicht alle Lösungen eine vollumfängliche Sicherheit garantieren können. Nach einer gewissen Zeit entwickeln Angreifer neue Taktiken, um gängige Sicherheitslösungen außer Kraft zu setzen. Diese werden dann durch neue Lösungen ersetzt.

Sie möchten die Wirksamkeit Ihrer Verteidigungssysteme in einer realitätsnahen Angriffssimulation überprüfen oder benötigen eine realistische Sicherheitsbewertung Ihrer eingesetzten Verteidigungsmechanismen?

Wir stehen Ihnen gern mit unserem Fachwissen zur Seite.

Dieser Artikel wurde verfasst von