کد خبر: ۴۷۸

ربودن ایمیل از طریق OAuth؛ حمله جدیدی که حتی تغییر رمز عبور هم متوقفش نمی‌کند

طریق OAuth

حمله ربودن ایمیل از طریق OAuth به هکرها اجازه می‌دهد حتی پس از تغییر رمز عبور نیز به حساب‌های Google Workspace دسترسی داشته باشند. جزئیات حمله STRD را بخوانید.

پژوهشگران امنیتی از شناسایی یک روش پیشرفته برای ربودن ایمیل از طریق OAuth خبر داده‌اند؛ حمله‌ای که به مهاجمان اجازه می‌دهد حتی پس از تغییر رمز عبور نیز دسترسی خود را به حساب‌های Google Workspace حفظ کنند. این تکنیک که Shadow Token via Remote Debug (STRD) نام دارد، توسط گروه جاسوسی ToddyCat مورد استفاده قرار گرفته و می‌تواند تهدیدی جدی برای سازمان‌ها و کاربران سرویس‌های ابری باشد.

چرا مهاجمان به سراغ OAuth رفته‌اند؟

هدف اصلی بسیاری از حملات سایبری، حفظ دسترسی طولانی‌مدت به حساب‌های قربانی است. در گذشته، مهاجمان برای این کار به سرقت رمز عبور، نصب بدافزارهای Infostealer یا استفاده از ابزارهای مدیریت از راه دور (RMM) متکی بودند. اما این روش‌ها معمولاً توسط سامانه‌های امنیتی مانند EDR و SIEM شناسایی می‌شوند یا با تغییر رمز عبور، دسترسی مهاجم از بین می‌رود.

از سوی دیگر، سرقت کوکی‌های مرورگر نیز به دلیل استفاده سرویس‌های آنلاین از فناوری Device Fingerprint و قابلیت‌های امنیتی جدید مرورگرهای مبتنی بر Chromium، مانند Chrome و Edge، دشوارتر از گذشته شده است.

به همین دلیل، مهاجمان اکنون به جای سرقت رمز عبور یا کوکی، مستقیماً توکن‌های OAuth را هدف قرار می‌دهند؛ توکن‌هایی که در برخی شرایط حتی پس از تغییر رمز عبور نیز معتبر باقی می‌مانند.

حمله Shadow Token via Remote Debug چگونه انجام می‌شود؟

برای اجرای این حمله، مهاجم ابتدا باید به رایانه قربانی دسترسی پیدا کند و بدافزاری را روی سیستم اجرا کند. در حملات پیشین، گروه ToddyCat از آسیب‌پذیری‌های شناخته‌شده سرورها و ابزارهای پیام‌رسان برای نفوذ اولیه استفاده کرده بود.

پس از اجرای بدافزار، فرآیند سوءاستفاده از OAuth آغاز می‌شود. بدافزار بدون نیاز به تعامل کاربر و بدون نمایش هیچ پنجره یا هشدار قابل مشاهده، سرویس مهاجم را به حساب Google Workspace قربانی متصل می‌کند.

از دید گوگل، این فرآیند کاملاً قانونی به نظر می‌رسد؛ گویی کاربر خودش یک برنامه شخص ثالث را برای دسترسی به ایمیل یا تقویم خود مجاز کرده است.

به همین دلیل، حتی اگر بدافزار بلافاصله از سیستم حذف شود، مهاجم همچنان از طریق توکن OAuth به حساب کاربر دسترسی خواهد داشت.

ابزار Umbrij چه نقشی در این حمله دارد؟

گروه ToddyCat برای اجرای این روش ابزاری به نام Umbrij توسعه داده است.

این ابزار ابتدا مرورگرهای نصب‌شده مانند Chrome و Edge را شناسایی کرده و نسخه‌ای از پروفایل فعال مرورگر را در محلی دیگر کپی می‌کند. سپس همان مرورگر را با استفاده از پروفایل کپی‌شده و در حالت Headless Debug اجرا می‌کند؛ حالتی که هیچ پنجره‌ای روی صفحه نمایش داده نمی‌شود اما مرورگر از طریق DevTools Protocol قابل کنترل است.

بدافزار با کمک کتابخانه قانونی Puppeteer صفحه رسمی OAuth گوگل را باز کرده و خود را به‌جای ابزارهای رسمی Google Workspace معرفی می‌کند. سپس مراحل دریافت مجوز را به‌صورت خودکار انجام داده و کد Authorization را برای سرور فرماندهی و کنترل (C2) مهاجم ارسال می‌کند.

در نهایت این کد به OAuth Access Token تبدیل می‌شود و مهاجم می‌تواند بدون نیاز به ورود مجدد یا حتی اتصال به رایانه قربانی، به صندوق ایمیل و سایر منابع مجاز دسترسی داشته باشد.

چرا این حمله خطرناک است؟

خطر اصلی این روش در آن است که تغییر رمز عبور همیشه باعث قطع دسترسی مهاجم نمی‌شود. اگر توکن OAuth همچنان معتبر باشد، مهاجم می‌تواند برای مدت طولانی به ایمیل‌ها و اطلاعات سازمانی دسترسی داشته باشد؛ موضوعی که تشخیص و مقابله با آن را دشوارتر می‌کند.

چگونه از ربودن ایمیل از طریق OAuth جلوگیری کنیم؟

کارشناسان امنیت توصیه می‌کنند در صورت احتمال آلودگی حساب Google Workspace، علاوه بر تغییر رمز عبور، اقدامات زیر نیز انجام شود:

  • تمامی نشست‌های فعال کاربر خاتمه داده شود.
  • تمام توکن‌های OAuth لغو شوند.
  • مجوز برنامه‌های شخص ثالث بررسی و دسترسی‌های غیرضروری حذف شوند.
  • App Passwordهای قدیمی غیرفعال شوند.
  • مجوزهای OAuth به‌صورت دوره‌ای بازبینی شوند.

راهکارهای پیشگیری از حمله STRD

برای کاهش خطر این حمله، تیم‌های امنیتی بهتر است اجرای مرورگر در حالت Debug را از طریق سیاست DeveloperToolsAvailability در Chrome و Edge برای کاربران عادی غیرفعال کنند.

همچنین مانیتور کردن اجرای مرورگر با Remote Debugging Port در سامانه‌های SIEM و XDR می‌تواند یکی از مهم‌ترین شاخص‌های شناسایی این حمله باشد.

جمع‌بندی

حمله ربودن ایمیل از طریق OAuth نشان می‌دهد که امنیت حساب‌های کاربری تنها به انتخاب یک رمز عبور قوی محدود نمی‌شود. مهاجمان با سوءاستفاده از فرآیندهای کاملاً قانونی OAuth می‌توانند دسترسی پایداری به ایمیل‌ها و داده‌های سازمانی ایجاد کنند. به همین دلیل، مدیریت دقیق مجوزهای OAuth، بررسی مداوم برنامه‌های متصل به حساب و پایش فعالیت‌های غیرعادی، نقش مهمی در کاهش خطر این نوع حملات دارد.

منبع: این تکنیک توسط پژوهشگران شرکت Kaspersky در جریان بررسی یک حادثه امنیتی شناسایی و تحلیل شده است.

گزارش خطا
ارسال پیام
captcha
پیشنهاد سردبیر بیشتر
آخرین اخبار
پربازدید
خانه پربازدید پربحث