PAN-OS 8.0: PAN-OS Phishing-Angriffsprävention

PAN-OS 8.0: PAN-OS Phishing-Angriffsprävention

72416
Created On 09/25/18 18:55 PM - Last Modified 03/26/21 16:40 PM


Symptom


In diesem Artikel wird eine neue Funktion oder Funktion hervorgehoben, die in PAN-OS 8.0 eingeführt wurde. 

Was ist Phishing?
  • Phishing ist ein Versuch von einer Einzelperson oder Gruppe, persönliche Informationen von ahnungslosen Benutzern zu erbitten, durch den Einsatz von Social Engineering-Techniken.
  • Phishing-Mails sind gefertigt, um erscheinen, als ob sie von einer legitimen Organisation gesendet oder individuelle bekannt wurden.
    • Diese e-Mails versuchen oft, locken Nutzer zum Klicken auf einen Link, der den Benutzer auf eine betrügerische Website bringt, die legitim erscheint.
    • Der Benutzer kann dann aufgefordert, persönliche Informationen wie z. B. Konto Benutzernamen und Passwörter, die weiter Zukunft Kompromisse ausgesetzt. Darüber hinaus können diese betrügerischen Webseiten Schadcode enthalten.

Environment


  • PAN-OS 8.0
  • Phishing

Resolution


 
Problem / Lösung
  • Phishing-Angriffe, gültige Anmeldeinformationen des Unternehmens zu erhalten sind eine gemeinsamen Faktoren in vielen Verletzungen heute.
  • Gültige Anmeldeinformationen Mittel beschaffen, die des Angreifers kann direkt in das Unternehmensnetzwerk die meisten Sicherheitslösungen zu umgehen und nicht Verdacht zu wecken gehen.
  • Der Angreifer können in eine Vielzahl von Möglichkeiten und Ebenen der Komplexität Benutzer ihre Anmeldeinformationen gültig Unternehmen übergeben bekommen Nutzer täuschen. Angriffe können heute so einfach sein, wie einen Benutzer zu einem gefälschten Unternehmenslogin auf einer ähnlich aussehenden Domain zu locken, um einen nicht autorisierten Outlook Web Access ( ) Server aufzustellen OWA oder gefälschte Single-Sign auf Authentifizierungsseiten zu erstellen.
  • Weil diese erweiterte Enterprise Phishing-Techniken beinhalten keine gemeinsame Identifikation Mechanismen im Privatkundengeschäft und Webmail Phishing-Attacken, wir kann sich nicht auf den Inhalt oder die Darstellung der bösartige Seite, die Phishing-Attacke zu verhindern.


Beschreibung der Funktion

  • Diese Funktion erweitert die URL Filterfunktionen, um gezielte Phishing-Angriffe für Anmeldeinformationen aktiv über einen cloudbasierten Analysedienst sowie durch Heuristik auf dem Gerät selbst zu erkennen.
  • Die Funktionalität erkennt HTTP Formularbeiträge, die gültige Unternehmensbenutzernamen und potenzielle Kennwörter enthalten. Der Kunde kann verschiedene Aktionen (Warnung/Block) in einem URL- Filterprofil konfigurieren, wenn ein Anmeldeinformationstreffer für eine Sitzung erkannt HTTP wird.
Flussdiagramm

2016-11-30_16-26-08.png

Anwendungsfall
Der Kunde steht vor einer Phishing-Kampagne mit Phishing-Webseiten, die eine Unternehmensseite imitieren, die auf kompromittierten Webservern legitimer Unternehmen gehostet wird.

  • Benutzer erhalten Links zu diesen speziell gestaltete Websites via Webmail oder geschäftlichen e-Mails.
  • Die Kunden versucht Einreichungen Unternehmen zu identifizieren, wenn Anmeldeinformationen von internen Benutzern zu diesen Websites zur Vermeidung der Exposition der Anmeldeinformationen des Unternehmens.


Details
Es gibt drei Betriebsarten:

  • Gruppenzuordnungsmodus: Ruft eine Liste von Benutzernamen aus einer oder mehreren AD Benutzergruppen ab. Wenn ein Parameter mit einem der Benutzernamen in dieser Liste übereinstimmt, handelt es sich um HTTP POST einen Zugriffszugriff.
  • IP-User-Mapping-Modus: Wenn die IP Quelladresse einer Sitzung über eine bekannte UserID + einen Parameter in dieser Sitzung verfügt, der die HTTP POST UserID-Zuordnung spiegelt, wird ein Anmeldeinformationszugriff angezeigt.
  • Domänenanmeldeinformationen:Wenn die IP Quelladresse einer Sitzung über eine bekannte UserID verfügt und ein HTTP POST Parameter in dieser Sitzung mit dem Kennwort übereinstimmt, das zu dieser Benutzer-ID gehört, handelt es sich um einen Zugriffspunkt.
    • Dieser Modus (zusätzlich zu den Notwendigkeiten eines ID User-Agents) erfordert auch einen User-Credential ID Agent.


A neues ACC Widget für "Hosts Visiting Malicious URLs" wird Count/ Graph-Treffer für interne Benutzer, die beim Besuch von Malware & Phishing-Sites protokolliert werden. Dieses Widget ist jedoch für legitime URL Kategorie Blöcke & wird nicht zählen noch Diagramm Treffer basierend auf Anmeldeinformationen Erkennung.

ACC Widget

2016-11-30_16-40-35.png
 

Konfigurationsworkflow:
Feature integriert sich in vorhandene URL Filterprofile

  • Verbesserungen wurden auf der Registerkarte "Kategorien" umfasst nun die Zugabe einer Benutzer-Anmeldeinformationen Submission-Option. Auswahl (wenn die Funktion aktiviert ist) bietet granulare Kontrolle über Kategorie Zugang sowie Verhalten für diese Kategorie, wenn ein Phishing-Versuch erkannt wird.

2016-11-30_16-46-16.pngURL Filtern von Profilerweiterungen

  • Funktionalität ist über eine neue Registerkarte mit der Bezeichnung "Benutzer Anmeldeinformationen Erkennung." Auf dieser Registerkarte können Sie auswählen, 1 von 3 Modi, sowie die bevorzugte Protokoll schwere gedruckt werden, wenn ein verdächtige Phishing-Versuch erkannt wurde.

2016-11-30_16-49-01.pngBenutzer-Anmeldeinformationen-Erkennung

  • Wenn die Gruppe Mapping Modus ausgewählt ist, entriegelt das eine Option für jede Gruppe (standardmäßig) gelten oder eine definierte Gruppe Mapping-Konfiguration auswählen.

Gruppen-Mapping verwenden
2016-11-30_16-51-02.png

 

  • Mapping-Dropdown-Liste wird aufgefüllt basierend auf Gruppenzuordnungen definiert über die Registerkarte "Gerät" >> Benutzerkennung >> Mapping-Einstellungen. Basierend auf der Gruppeneinschließenliste/-filtern können Sie benutzerdefinierte URL Richtlinien/Filterprofile mit Aktionen erstellen, die für eine bestimmte Gruppe(n) relevant sind.

Gruppenzuordnung
2016-11-30_16-56-36.png

  • Sobald der Erkennungsmodus für Benutzeranmeldeinformationen ausgewählt wurde und die entsprechenden Aktionen für die Kategorien definiert wurden, würde der letzte Schritt das Objekt (wie bei jedem URL Filterprofil) an eine Sicherheit Policy binden.

Profil hinzugefügt 
Screen Sie Shot 2017-02-01 bei 11.48.52.png

 

  • Wenn ein Treffer erkannt wird (d. h. Benutzerzuordnung existiert + URL Kategorie festgelegt, um die BenutzeranmeldeinformationenÜbermittlung zu blockieren, wenn die Anmeldeinformationserkennung aktiviert ist), wird dem Benutzer eine Blockseite angezeigt:

Blockseite
2017-02-01_11-53-04.jpg

  • Windows-Agenten : Es gibt (2) Agenten, um die volle Funktionalität dieser Funktion zu entsperren (so dass Sie einen der 3 Benutzeranmeldeinformationen Erkennungsmodi auswählen).
    • IDUser-Agent
      • Der ID User-Agent fungiert weiterhin sowohl als Standard-Benutzer-Agent als auch als Unterstützung von ID Anmeldeinformationen-Erkennungsmodi wie IP Benutzer- oder Gruppenzuordnung (die nur die Erkennung des zugeordneten Benutzernamens erfordert).

    • IDBenutzer-Anmeldeinformations-Agent

      • Der Anmeldeinformations-Agent wird zum Abrufen von Domänenanmeldeinformationen (Kennwort-Hashes) verwendet, die über den User-Agent zugeführt ID werden. Der Agent muss sich auf einem Windows Server mit Verzeichnisdiensten befinden, die der Domäne als RODC verbunden sind.
        • Bei einem RODC können die im localhost identifizierten Objekte RODC zulassen PRP (Kennwortreplikation policy – d. h. msDS-RevealOnDemandGroup-Attribut) automatisch rekursiv abgefragt werden, damit Benutzer sie schützen können.
        • Alternativ kann eine Liste der vom Benutzer bereitgestellt von Anmeldeinformationen der Benutzer-ID-Agent als eine XML-Datei zugeführt werden
    • Sicherheitshinweise:
      • Keine Anmeldeinformationen oder abgestanden Lagerung/Dateien mit vertraulichen Informationen ist überall auf dem Server belassen wo UIDAgent ausgeführt wird. Hierunter fallen temporäre Dateien (falls vorhanden), Protokolle, etc. zu debuggen.
      • Die einzigen Informationen, die aus dem UIDAgent und dem Server exportiert werden, auf dem der Agent ausgeführt wird, sind die BloomFilters- und Metadaten des BloomFilters (z. B. Anmeldeinformationen, Benutzername max/min-Zeichenfolgenlängen) und eine Liste der uiDs, die im enthalten BF sind. In keinem Fall einschließlich Problembehandlung wird die UIDAgent aussetzen oder speichern Passwort-Hash.


Hinweis:
Das Widget "Hosts Visiting Malicious URLs" protokolliert Treffer für interne Benutzer, die ausschließlich über die ACC NOT Anmeldeinformationserkennung blockiert/protokolliert werden. Dieses Widget wird verwendet, um Sichtbarkeit für alle Benutzer zu gewähren, die URL vom Filtern über Kategoriewarnungen/-blöckeusw. protokolliert/blockiert wurden. Der Screenshot unten zeigt ein - von Treffern/Blöcken, die streng für die Erkennung von Anmeldeinformationen protokolliert wurden (potenzielle Phishing-Sites), obwohl das ACC Widget als "Keine anzuzeigenden Daten" berichtet. Wären diese Seiten als "Malware" oder "Phishing" erkannt worden, wären Treffer protokolliert und grafisch bevölkert worden.

Keine anzuzeigenden Daten
2017-02-01_12-18-45.jpg

  • Bei der Implementierung des ID Benutzeranmeldeinformations-Agenten, um alle Betriebsarten voll auszuschöpfen, ist es sehr ratsam, Microsofts TechNet Doc durchzulesen, in dem die Bereitstellungsoptionen für die Bereitstellung von Best Practices für die Verwaltung erläutert RODC werden.  

    Eine RODC IS REQUIRED bei der Bereitstellung von UaCredService/UaService. Wenn Sie die von empfohlenen Standardschritte nicht befolgen, kann dies MS zu Fehlern beim Abrufen von Domänenanmeldeinformationen durch den Anmeldeinformations-Agent führen (oder vorausgesetzt, dass alle Connectors funktionsfähig erscheinen), die Unfähigkeit, Gruppeninformationen/Extraktbenutzer abzurufen usw.


Einschränkungen:

  • Kennwortprüfung Anmeldeinformationen erfordert, dass eine UserID Agent bereitgestellt werden. Die Bereitstellung ohne Agents funktioniert, unterstützt jedoch nur Benutzername-Übereinstimmungen (d. h., der Modus für Domänenanmeldeinformationen erfordert einen ID Benutzer-Agent, da eine Abhängigkeit mit dem Anmeldeinformationsdienst besteht).
  • Warnungs-/Blockentscheidungen sind an URL Kategorien gebunden. A Kategorie kann nicht rechtzeitig identifiziert werden, wenn die zu prüfenden Parameter bei der firewall !
  • Beim Implementieren der Benutzeranmeldeinformationenerkennung (für die der ID Benutzeranmeldeinformations-Agent erforderlich ist) befindet sich der Agent MUST auf einem Windows Server w/ Directory Services, der der Domäne als verbunden RODC ist.


 Debuggen:

  • Gruppenzuordnungssynchronisierungsstatistiken/-status werden bereits mit dem Befehl "User-id-Agent-Status anzeigen" CLI angezeigt.  Zu den Änderungen gehören jedoch ( BF ) "Bloom Filter"-Zähler, d.h.: Die letzte BF Aktualisierung und Seriennummer für jeden BF UIDAgent wird hinzugefügt. Das Feld für den letzten BF Update-Zeitstempel wird als deaktiviert markiert, wenn für eine UIDAgent-seitige Konfiguration die Extraktionsoption für Anmeldeinformationen deaktiviert ist. Die untenstehende Ausgabe ist ein voll funktionsfähiges Beispiel für eine ID User-/Credential Agent-Bereitstellung.

> show user user-id-agent state all 
 Agent: 10.46.48.104(vsys: vsys1) Host: 10.46.48.104(10.46.48.104):5007
         Status                                            : conn:idle
         Version                                           : 0x5
         num of connection tried                           : 697
         num of connection succeeded                       : 28
         num of connection failed                          : 669
         num of status msgs rcvd                           : 21080
         num of request of status msgs sent                : 21092
         num of request of ip mapping msgs sent            : 5587
         num of request of new ip mapping msgs sent        : 0
         num of request of all ip mapping msgs sent        : 52
         num of user ip mapping msgs rcvd                  : 122
         num of ip msgs rcvd but failed to proc            : 0
         num of user ip mapping add entries rcvd           : 166
         num of user ip mapping del entries rcvd           : 26
         num of bloomfilter requests sent                  : 4
         num of bloomfilter response received              : 4
         num of bloomfilter response failed to proc        : 0
         num of bloomfilter resize requests sent           : 0
         Last heard(seconds ago)                           : 1
         Messages State:
           Job ID                                          : 0
           Sent messages                                   : 26787
           Rcvd messages                                   : 21274
           Lost messages                                   : 0
           Failed to send messages                         : 0
           Queued sending msgs with priority 0             : 0
           Queued sending msgs with priority 1             : 0
           Queued rcvring msgs with priority 0             : 0
           Queued rcvring msgs with priority 1             : 0
         Credential Enforcement Status : In Sync
           Last BF digest received(seconds ago)            : 1
           Last BF request sent(seconds ago)               : 11417
           Last BF updated(seconds ago)                    : 11417
           Current BF digest : 1fbd572bdf1f5170edb13d6e4d32ba86
  • Wenn der Erzwingungsmodus für Domänenanmeldeinformationen in einem aktiven Filterprofil aktiviert ist, wird in jedem eine Liste von UIDAgents aufgeführt, von denen ein abgerufen URL wird und die Anzahl der BF Anmeldeinformationen in jedem enthalten BF ist.
  • Wenn der Gruppenzuordnungserzwingungsmodus in einem aktiven Filterprofil aktiviert URL ist, werden die Anzahl der Benutzernamen in der Suchtrie/Hash-Tabelle und die Zeichenfolgenlängen min/max des Benutzernamens eingeschlossen.
> show user credential-filter statistics
Built 5 unique users table.
 toi_test_001                            : 251
 toi_test_002                            : 251
 phishing001                             : 251
 phishing002                             : 251
 bryan                                   : 251

 

  • Ein weiterer bereits vorhandener Befehl, der nun jedoch Informationen bündelt, die für die Anmeldeinformationen-Erzwingung relevant sind (die auch die Ausgabe von Anmeldeinformationen über die Statistik überschatten), d. h.: 251 URL- Filterprofile ID , sowie zugehörige Benutzernamen:
> show user group-mapping state all
Group Mapping(vsys1, type: active-directory): PANTAC
 
        Bind DN    : administrator@pantac.local
         Base       : DC=pantac,DC=local
         Group Filter: (None)
         User Filter: (None)
         Servers    : configured 1 servers
                 10.192.0.189(389)
                         Last Action Time: 2546 secs ago(took 0 secs)
                         Next Action Time: In 1054 secs
         Number of Groups: 1
         cn=phishing_test,ou=security groups,dc=etac2008,dc=com
         Credential Enforcement: 1 URL-Filtering Profiles.
         URL-Filtering Profile IDs: 251
         Usernames:
         bryan, phishing001, phishing002, toi_test_001
         toi_test_002


Logging:
Mit dieser Funktion in Filtering & URL User- ID integriert, viele der gleichen Protokolle werden auch verwendet.

> weniger mp-log useridd.log

Log enthält jetzt Anmeldeinformationen bezogene Protokolle sowie BF Updates, d. h.:

 

2016-09-07 01:29:32.640 -0700 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest.
2016-09-07 01:29:37.647 -0700 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest.
2016-09-07 01:29:42.654 -0700 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest.
2016-09-07 01:29:47.661 -0700 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest.
2016-09-07 01:29:52.668 -0700 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest.
2016-09-07 01:29:57.674 -0700 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest.
2016-09-07 01:30:02.683 -0700 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest.

2016-09-07 18:07:09.640 -0700 Processed 5 ldap users for group mapping PANTAC. Added 5 unique usernames to username vector.
2016-09-07 18:07:09.667 -0700 Building userinfo.xml takes 0s
2016-09-07 18:07:42.699 -0700 Built 5 unique users table, vsys 1.
2016-09-07 18:07:42.699 -0700 Sending serialized vsys 1 credential map of 119 bytes to slots 0xffffffff.
2016-09-07 18:25:18.419 -0700 UIA 10.192.0.198 new Credential BF: digest 1fbd572bdf1f5170edb13d6e4d32ba86, 4 users, 8 KB.
2016-09-07 18:26:00.506 -0700 Sending serialized vsys 1 credential BF of 8217 bytes to slots 0xffffffff.

 

URL Filterprotokolle protokollieren basierend auf der definierten Aktion innerhalb des URL Filterprofils (Benutzeranmeldeinformationen-Übermittlung).

URL Filterprotokolle enthalten jetzt eine neue Spalte "Credential Detected", die aktiviert (standardmäßig deaktiviert) werden kann.

Dieses neue Flag ist auch sichtbar über die Detailansicht Protokoll sowie:

 

2017-02-01_13-13-56.jpgFlaggen

IDBenutzer-Agent-Protokolle:

C:-Programmdateien (x86) , Palo Alto-Netzwerke, ID Benutzer-Agent, UaDebug.log

 

09/07/16 18:25:33:088[ Info  798]: New connection 10.46.64.91 : 53029.
09/07/16 18:25:33:103[ Info  871]: Device thread 1 with 10.46.64.91 : 53029 is started.
09/07/16 18:25:33:103[ Info 2899]: Device thread 1 accept finished
09/07/16 18:25:35:131[ Info 2688]: Sent config to UaCredService.
09/07/16 18:25:38:345[ Info 2746]: Received BF Push. Same as current one. 1fbd572bdf1f5170edb13d6e4d32ba86

IDBenutzeranmeldeinformationen-Agent-Protokolle:

C:-Programm-Dateien, Palo Alto-Netzwerke, ID Benutzer-Anmeldeinformations-Agent, UaCredDebug.log

 

09/07/16 12:42:58:568 [ Info 731]: No user in group 
09/07/16 12:43:05:448 [ Info 731]: No user in group 
09/07/16 12:43:12:296 [ Info 731]: No user in group  
 
09/07/16 12:58:01:193 [ Warn 779]: No user extracted. Domain: PANTAC, 0/4 users. 0/2 preloads. 0 lookup failed. BF version: 1, 0 Patterns, 64 Kbits, 8 KB.
09/07/16 12:58:08:307 [ Warn 779]: No user extracted. Domain: PANTAC, 0/4 users. 0/2 preloads. 0 lookup failed. BF version: 1, 0 Patterns, 64 Kbits, 8 KB.
09/07/16 12:58:17:652 [ Warn 779]: No user extracted. Domain: PANTAC, 0/4 users. 0/2 preloads. 0 lookup failed. BF version: 1, 0 Patterns, 64 Kbits, 8 KB.

09/07/16 12:58:59:876 [ Info 704]: Sent BF to UaService. 3816cb8cc68069d56f558f06709afdf7
09/07/16 12:59:16:391 [ Info 704]: Sent BF to UaService. 6b07c78ef7252377f105652dc6ad5c66
09/07/16 17:27:47:557 [ Info 704]: Sent BF to UaService. C735b0836490dc55f927ca30cb6c9aa2
 
09/07/16 18:23:45:182 [Error 707]: Failed to send BF to UaService.
09/07/16 18:23:52:265 [Error 707]: Failed to send BF to UaService.
09/07/16 18:23:59:332 [Error 707]: Failed to send BF to UaService.

 

Wie immer zeigt der ID User-Agent auch verschiedene Protokollmeldungen mit den neuesten Agenten/Protokollen an, die jetzt auf BF Pushs verweisen usw.

UID Agent-Protokolle
2017-02-01_13-22-52.jpg

 

CLI Debugbefehle :

 

> debug user-id reset group-mapping

all         all
<value>     group mapping to reset

 

  • Zusätzlich zum Zurücksetzen Gruppenzuordnungen (bestehende Verhalten) wird dies auch die Benutzernamen Trie/Hash-Tabelle (Credential in Gruppe-Zuordnungsmodus) zurückgesetzt.
> debug user-id reset credential-filter

all      reset domain credential and group mapping username filters for all user-id agent
<value>  specify one agent to reset domain credential and group mapping username filter

 

  • löscht alle MP und DP BloomFilters (Domänenanmeldeinformationsmodus) und Benutzername-Trie/Hash-Tabelle (Gruppenzuordnungsmodus) für die Erzwingung von Anmeldeinformationen.

 

Tipps:
Sollten Probleme beim Abrufen von Anmeldeinformationen/Hash über RODC Bereitstellungen auftreten, stellen Sie sicher, dass Gruppen, die in die Anmeldeinformationserkennung einbezogen werden sollen, der "Gruppe für die zulässige RODC Kennwortreplikation" hinzugefügt werden.

Active Directory-Benutzer und -Computer
2017-02-01_13-30-51.jpg

Wenn weiterhin Fehler vorliegen, stellen Sie sicher, dass diese Gruppen (standardmäßig) nicht in der Gruppe "Verweigerte RODC Kennwortreplikation" enthalten sind. Im Folgenden finden Sie eine Liste der Gruppenmitglieder, die standardmäßig in dieser Gruppe enthalten sind (einschließlich Domänenadministratoren).

Verweigert RODC Kennwortreplikationsgruppeneigenschaften
2017-02-01_13-35-12.jpg

Zusätzliche Befehle können auf der ausgeführt DC werden, um zu testen, ob das Replizieren von Geheimnissen für einen bestimmten Benutzer erfolgreich ist. Sollte es zu einem Fehler kommen, ist die Von Windows-Meldung äußerst informativ.

 

Syntax :
repadmin /rodcpwdrepl [DSA_LIST] Hub DC > > [ <User1 DN <User2 DN > <User3 DN >...]

Beispiel dieses Befehls finden Sie auf der Windows Server Technet-Seite :
Repadmin /rodcpwdrepl
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRpCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language