ربودن ایمیل از طریق OAuth؛ حمله جدیدی که حتی تغییر رمز عبور هم متوقفش نمیکند
حمله ربودن ایمیل از طریق OAuth به هکرها اجازه میدهد حتی پس از تغییر رمز عبور نیز به حسابهای Google Workspace دسترسی داشته باشند. جزئیات حمله STRD را بخوانید.
پژوهشگران امنیتی از شناسایی یک روش پیشرفته برای ربودن ایمیل از طریق OAuth خبر دادهاند؛ حملهای که به مهاجمان اجازه میدهد حتی پس از تغییر رمز عبور نیز دسترسی خود را به حسابهای Google Workspace حفظ کنند. این تکنیک که Shadow Token via Remote Debug (STRD) نام دارد، توسط گروه جاسوسی ToddyCat مورد استفاده قرار گرفته و میتواند تهدیدی جدی برای سازمانها و کاربران سرویسهای ابری باشد.
چرا مهاجمان به سراغ OAuth رفتهاند؟
هدف اصلی بسیاری از حملات سایبری، حفظ دسترسی طولانیمدت به حسابهای قربانی است. در گذشته، مهاجمان برای این کار به سرقت رمز عبور، نصب بدافزارهای Infostealer یا استفاده از ابزارهای مدیریت از راه دور (RMM) متکی بودند. اما این روشها معمولاً توسط سامانههای امنیتی مانند EDR و SIEM شناسایی میشوند یا با تغییر رمز عبور، دسترسی مهاجم از بین میرود.
از سوی دیگر، سرقت کوکیهای مرورگر نیز به دلیل استفاده سرویسهای آنلاین از فناوری Device Fingerprint و قابلیتهای امنیتی جدید مرورگرهای مبتنی بر Chromium، مانند Chrome و Edge، دشوارتر از گذشته شده است.
به همین دلیل، مهاجمان اکنون به جای سرقت رمز عبور یا کوکی، مستقیماً توکنهای OAuth را هدف قرار میدهند؛ توکنهایی که در برخی شرایط حتی پس از تغییر رمز عبور نیز معتبر باقی میمانند.
حمله Shadow Token via Remote Debug چگونه انجام میشود؟
برای اجرای این حمله، مهاجم ابتدا باید به رایانه قربانی دسترسی پیدا کند و بدافزاری را روی سیستم اجرا کند. در حملات پیشین، گروه ToddyCat از آسیبپذیریهای شناختهشده سرورها و ابزارهای پیامرسان برای نفوذ اولیه استفاده کرده بود.
پس از اجرای بدافزار، فرآیند سوءاستفاده از OAuth آغاز میشود. بدافزار بدون نیاز به تعامل کاربر و بدون نمایش هیچ پنجره یا هشدار قابل مشاهده، سرویس مهاجم را به حساب Google Workspace قربانی متصل میکند.
از دید گوگل، این فرآیند کاملاً قانونی به نظر میرسد؛ گویی کاربر خودش یک برنامه شخص ثالث را برای دسترسی به ایمیل یا تقویم خود مجاز کرده است.
به همین دلیل، حتی اگر بدافزار بلافاصله از سیستم حذف شود، مهاجم همچنان از طریق توکن OAuth به حساب کاربر دسترسی خواهد داشت.
ابزار Umbrij چه نقشی در این حمله دارد؟
گروه ToddyCat برای اجرای این روش ابزاری به نام Umbrij توسعه داده است.
این ابزار ابتدا مرورگرهای نصبشده مانند Chrome و Edge را شناسایی کرده و نسخهای از پروفایل فعال مرورگر را در محلی دیگر کپی میکند. سپس همان مرورگر را با استفاده از پروفایل کپیشده و در حالت Headless Debug اجرا میکند؛ حالتی که هیچ پنجرهای روی صفحه نمایش داده نمیشود اما مرورگر از طریق DevTools Protocol قابل کنترل است.
بدافزار با کمک کتابخانه قانونی Puppeteer صفحه رسمی OAuth گوگل را باز کرده و خود را بهجای ابزارهای رسمی Google Workspace معرفی میکند. سپس مراحل دریافت مجوز را بهصورت خودکار انجام داده و کد Authorization را برای سرور فرماندهی و کنترل (C2) مهاجم ارسال میکند.
در نهایت این کد به OAuth Access Token تبدیل میشود و مهاجم میتواند بدون نیاز به ورود مجدد یا حتی اتصال به رایانه قربانی، به صندوق ایمیل و سایر منابع مجاز دسترسی داشته باشد.
چرا این حمله خطرناک است؟
خطر اصلی این روش در آن است که تغییر رمز عبور همیشه باعث قطع دسترسی مهاجم نمیشود. اگر توکن OAuth همچنان معتبر باشد، مهاجم میتواند برای مدت طولانی به ایمیلها و اطلاعات سازمانی دسترسی داشته باشد؛ موضوعی که تشخیص و مقابله با آن را دشوارتر میکند.
چگونه از ربودن ایمیل از طریق OAuth جلوگیری کنیم؟
کارشناسان امنیت توصیه میکنند در صورت احتمال آلودگی حساب Google Workspace، علاوه بر تغییر رمز عبور، اقدامات زیر نیز انجام شود:
- تمامی نشستهای فعال کاربر خاتمه داده شود.
- تمام توکنهای OAuth لغو شوند.
- مجوز برنامههای شخص ثالث بررسی و دسترسیهای غیرضروری حذف شوند.
- App Passwordهای قدیمی غیرفعال شوند.
- مجوزهای OAuth بهصورت دورهای بازبینی شوند.
راهکارهای پیشگیری از حمله STRD
برای کاهش خطر این حمله، تیمهای امنیتی بهتر است اجرای مرورگر در حالت Debug را از طریق سیاست DeveloperToolsAvailability در Chrome و Edge برای کاربران عادی غیرفعال کنند.
همچنین مانیتور کردن اجرای مرورگر با Remote Debugging Port در سامانههای SIEM و XDR میتواند یکی از مهمترین شاخصهای شناسایی این حمله باشد.
جمعبندی
حمله ربودن ایمیل از طریق OAuth نشان میدهد که امنیت حسابهای کاربری تنها به انتخاب یک رمز عبور قوی محدود نمیشود. مهاجمان با سوءاستفاده از فرآیندهای کاملاً قانونی OAuth میتوانند دسترسی پایداری به ایمیلها و دادههای سازمانی ایجاد کنند. به همین دلیل، مدیریت دقیق مجوزهای OAuth، بررسی مداوم برنامههای متصل به حساب و پایش فعالیتهای غیرعادی، نقش مهمی در کاهش خطر این نوع حملات دارد.
منبع: این تکنیک توسط پژوهشگران شرکت Kaspersky در جریان بررسی یک حادثه امنیتی شناسایی و تحلیل شده است.