PAN-OS 8.0: PAN-OS Prevención de ataques de phishing
Symptom
En este artículo se resalta una nueva funcionalidad o característica introducida en PAN-OS la versión 8.0.
¿Qué es phishing?
- Phishing es un intento de un individuo o grupo para solicitar información personal de usuarios incautos mediante el empleo de técnicas de ingeniería social.
- Correos electrónicos de phishing están hechos para aparecer como si han sido enviados desde una organización legítima o conocido individuales.
- Estos correos electrónicos a menudo intentan atraer a los usuarios hacer clic en un enlace que llevará al usuario a un sitio Web fraudulento que aparece legítimo.
- El usuario entonces se puede pedir a proporcionar información personal, como nombres de cuenta y contraseñas, que pueden exponen a compromisos futuros. Además, estos sitios web fraudulentos pueden contener código malicioso.
Environment
- PAN-OS 8.0
- Phishing
Resolution
- Ataques de phishing para obtener credenciales corporativas válidas son uno de los factores comunes en muchos incumplimientos hoy.
- Obtención de medios de credenciales válidos el atacante puede caminar a la derecha en la red de la empresa evitando soluciones de seguridad de la mayoría y no despertar sospechas.
- Los atacantes pueden engañar a los usuarios en una variedad de formas y niveles de sofisticación a los usuarios a entregar sus credenciales válidas de la empresa. Los ataques de hoy en día pueden ser tan simples como atraer a un usuario a un inicio de sesión empresarial falso en un dominio de aspecto similar a ponerse de pie en un servidor de Outlook Web Access ( ) rogue OWA o crear un solo signo falso en las páginas de autenticación.
- Porque estas técnicas de phishing más avanzadas de empresa no incluyen mecanismos de identificación comunes utilizados en consumidor bancario y ataques de phishing de correo web, no podemos confiar en el contenido o el aspecto de la página maliciosa para prevenir el ataque de phishing.
Descripción de la característica
- Esta característica amplía las URL capacidades de filtrado para detectar activamente ataques de phishing de credenciales dirigidas a través de un servicio de análisis basado en la nube, así como a través de la heurística en el propio dispositivo.
- La funcionalidad detecta HTTP publicaciones de formulario que contienen nombres de usuario corporativos válidos y contraseñas potenciales. El cliente puede configurar varias acciones (alerta/bloque) en un URL- perfil de filtrado cuando se detecta un golpe de credencial para una HTTP sesión.
Caso de uso
El cliente se enfrenta a una campaña de phishing de credenciales utilizando páginas web de phishing imitando una página corporativa, que se alojan en servidores web comprometidos de empresas legítimas.
- Los usuarios reciben enlaces a estos sitios web específicamente diseñados a través de webmail o correo electrónico corporativo.
- Los clientes intenta identificar las presentaciones si corporativo las credenciales de los usuarios internos a estos sitios web para prevenir la exposición de credenciales corporativas.
Detalles
Hay tres modos de operaciones:
- Modo de asignación de grupos: obtiene una lista de nombres de usuario de uno o varios AD grupos de usuarios. Si un HTTP POST parámetro coincide con cualquiera de los nombres de usuario de esa lista, es un golpe de credencial.
- IP-Modo de asignación de usuarios: Cuando la dirección de origen IP de una sesión tiene un UserID conocido + un parámetro en esa sesión que refleja la asignación HTTP POST UserID, hay un golpe de credencial.
- Modo de credencial de dominio:cuando la dirección de origen IP de una sesión tiene un UserID conocido y un parámetro de esa sesión coincide con la contraseña que pertenece a ese HTTP POST UserID, es un éxito de credenciales.
- Este modo (además de requerir un agente de ID usuario), también requiere un ID agente de credenciales de usuario.
A nuevo ACC widget para "Hosts visitando URL maliciosas" contará / Gráficos hits para los usuarios internos que han iniciado sesión visitando sitios de malware y phishing. Este widget, sin embargo, es para URL bloques de categoría legítimos & no contará ni gráficos de aciertos basados en la detección de credenciales.
Flujo de trabajo de configuración:
la característica se integra en los perfiles de filtrado existentes URL
- Se han realizado mejoras a la pestaña de categorías, que ahora incluye la adición de una opción de presentación de credenciales de usuario. Selección (cuando la función está activada) proporciona un control granular sobre acceso de categoría así como comportamiento para esa categoría, si se detecta un intento de phishing.
- Permitiendo la funcionalidad es a través de una nueva pestaña llamada "Detección de la credencial de usuario." Dentro de esta ficha, puede seleccionar 1 de 3 modos, así como la severidad de registro preferido para imprimir cuando se ha detectado un intento de phishing sospechoso.
- Si se selecciona el modo de asignación de grupo, esto abre una opción para aplicar a cualquier grupo (por defecto) o para seleccionar una configuración definida de asignación de grupo.
- Grupo asignación lista está poblada basado en asignaciones de grupo definida mediante la ficha dispositivo >> identificación usuario >> configuración de asignación de grupo. En función de la lista/filtros de combinación de grupos, puede crear directivas personalizadas/ URL perfiles de filtrado, con acciones relevantes para un grupo específico.
- Una vez seleccionado el modo de detección de credenciales de usuario & acciones adecuadas definidas para las categorías, el paso final sería enlazar el objeto (como es el caso de cualquier URL perfil de filtrado), a una seguridad Policy .
Si se detecta un golpe (es decir, La asignación de usuarios existe + URL Categoría establecida para bloquear el envío de credenciales de usuario con la detección de credenciales habilitada), se presentará una página de bloque al usuario:
- Agentes de Windows : Hay (2) agentes para desbloquear la funcionalidad completa de esta característica (lo que le permite seleccionar cualquiera de los 3 modos de detección de credenciales de usuario).
- Usuario- ID Agente
- El User- ID Agent seguirá funcionando como un agente de usuario ID estándar, así como admitir modos de detección de credenciales como IP asignación de usuario o grupo (que solo requiere la detección del nombre de usuario asignado).
Agente ID de credenciales de usuario
- El Agente de credenciales se utiliza para obtener credenciales de dominio (hashes de contraseña) que se alimentan a través del Agente de ID usuario. El agente debe residir en un Windows Server con servicios de directorio unidos al dominio como un RODC archivo .
- Para un RODC , el Permitir objetos identificados en el localhost RODC 's (replicación de PRP policy contraseñas - es decir, msDS-RevealOnDemandGroup atributo) se puede consultar automáticamente recursivamente para que los usuarios protejan.
- Por otra parte, una lista de usuario de credenciales puede ser alimentada en el agente de usuario como un archivo xml
- El Agente de credenciales se utiliza para obtener credenciales de dominio (hashes de contraseña) que se alimentan a través del Agente de ID usuario. El agente debe residir en un Windows Server con servicios de directorio unidos al dominio como un RODC archivo .
- Notas de seguridad:
- Ninguna credencial o añejo/archivos de almacenamiento con información sensible queda en cualquier lugar en el servidor donde se ejecuta UIDAgent. Esto incluye archivos temporales (si existe), depuración de registros, etc..
- La única información exportada desde UIDAgent y el servidor en el que se ejecuta el agente serán los BloomFilters y los metadatos de BloomFilter (como recuentos de credenciales, longitudes de cadena max/min de nombre de usuario) y una lista de UID incluidos en el BF archivo . En ningún caso, incluyendo resolución de problemas el UIDAgent exponer o guardar cualquier hash de contraseña.
- Usuario- ID Agente
Notas:
El widget Hosts Visiting Malicious URLs ACC NOT registrará los hits de los usuarios internos bloqueados/registrados únicamente a través de la detección de credenciales. Este widget se utiliza para conceder visibilidad a todos los usuarios que han sido registrados / bloqueados del filtrado a través de URL alertas de categoría / bloques,etc... La siguiente captura de pantalla muestra un # de hits/ bloques registrados estrictamente para la detección de credenciales (sitios potenciales de phishing), aunque el ACC widget informa como "Sin datos para mostrar." Si estos sitios hubieran sido detectados como "malware", o "phishing", entonces los golpes se habrían registrado & gráfico poblado.
Al implementar el Agente de credenciales de usuario ID para aprovechar al máximo todos los modos de operación, es muy recomendable leer a través de TechNet Doc de Microsoft explicando las opciones de implementación de procedimientos recomendados para RODC administración.
Un RODC IS REQUIRED al implementar el UaCredService/UaService. No seguir los pasos estándar recomendados por , podría dar lugar a MS errores con el Agente de credenciales recuperando credenciales de dominio (o suponiendo que todos los conectores parezcan funcionales), la incapacidad de recuperar información de grupo / extraer usuarios, etc...
Limitaciones:
- Verificación de credenciales de contraseña requiere que un agente de ID de usuario para desplegarse. La implementación sin agente funcionará, aunque solo admitir coincidencias de nombre de usuario (es decir, el modo Credenciales de dominio requiere un agente de ID usuario, ya que hay una dependencia con el servicio de credenciales).
- Las decisiones de alertas/bloqueos están vinculadas a URL categorías. A categoría no se puede identificar en el momento en que los parámetros a inspeccionar se reciben en el firewall !
- Al implementar la detección de credenciales de usuario (que requiere el ID Agente de credenciales de usuario), el agente reside en un Windows Server MUST w/ Directory Services unido al dominio como un RODC .
Depuración:
Las estadísticas/el estado de la sincronización de la asignación de grupo ya se muestran con el comando"show user-id-agent state". CLI Sin embargo, los cambios incluyen ( BF ) contadores "Bloom Filter", es decir: Se agregará la última BF actualización y número de serie para cada BF UIDAgent. El último BF campo de marca de tiempo de actualización se marca como deshabilitado si una configuración del lado UIDAgent tiene la opción de extracción de credenciales deshabilitada. La salida a continuación es un ejemplo completamente funcional con una implementación de User- ID /Credential Agent.
> show user user-id-agent state all Agent: 10.46.48.104(vsys: vsys1) Host: 10.46.48.104(10.46.48.104):5007 Status : conn:idle Version : 0x5 num of connection tried : 697 num of connection succeeded : 28 num of connection failed : 669 num of status msgs rcvd : 21080 num of request of status msgs sent : 21092 num of request of ip mapping msgs sent : 5587 num of request of new ip mapping msgs sent : 0 num of request of all ip mapping msgs sent : 52 num of user ip mapping msgs rcvd : 122 num of ip msgs rcvd but failed to proc : 0 num of user ip mapping add entries rcvd : 166 num of user ip mapping del entries rcvd : 26 num of bloomfilter requests sent : 4 num of bloomfilter response received : 4 num of bloomfilter response failed to proc : 0 num of bloomfilter resize requests sent : 0 Last heard(seconds ago) : 1 Messages State: Job ID : 0 Sent messages : 26787 Rcvd messages : 21274 Lost messages : 0 Failed to send messages : 0 Queued sending msgs with priority 0 : 0 Queued sending msgs with priority 1 : 0 Queued rcvring msgs with priority 0 : 0 Queued rcvring msgs with priority 1 : 0 Credential Enforcement Status : In Sync Last BF digest received(seconds ago) : 1 Last BF request sent(seconds ago) : 11417 Last BF updated(seconds ago) : 11417 Current BF digest : 1fbd572bdf1f5170edb13d6e4d32ba86
- Cuando el modo de aplicación de credenciales de dominio está habilitado en cualquier URL perfil de filtrado activo, se incluye una lista de UIDAgents de donde se obtiene a BF y el número de credenciales en cada BF .
- Cuando el modo de aplicación de asignación de grupo está habilitado en cualquier URL perfil de filtrado activo, se incluye el número de nombres de usuario en la tabla de búsqueda trie/hash y las longitudes de cadena de nombre de usuario mínima/máxima.
> show user credential-filter statistics Built 5 unique users table. toi_test_001 : 251 toi_test_002 : 251 phishing001 : 251 phishing002 : 251 bryan : 251
- Otro comando preexistente, aunque ahora incluye información relevante para la aplicación de credenciales (que también sombrea la salida de estadísticas de características de credenciales), es decir: 251 URL- Perfiles de filtrado ID 's, así como nombres de usuario asociados:
> show user group-mapping state all Group Mapping(vsys1, type: active-directory): PANTAC Bind DN : administrator@pantac.local Base : DC=pantac,DC=local Group Filter: (None) User Filter: (None) Servers : configured 1 servers 10.192.0.189(389) Last Action Time: 2546 secs ago(took 0 secs) Next Action Time: In 1054 secs Number of Groups: 1 cn=phishing_test,ou=security groups,dc=etac2008,dc=com Credential Enforcement: 1 URL-Filtering Profiles. URL-Filtering Profile IDs: 251 Usernames: bryan, phishing001, phishing002, toi_test_001 toi_test_002
Registro:
Con esta característica integrada en filtrado URL &usuario- ID , muchos de los mismos registros también se utilizan.
> useridd menos mp-log.log Log
ahora incluye registros relacionados con credenciales, así como BF actualizaciones, es decir:
2016-09-07 01:29:32.640 -0700 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest. 2016-09-07 01:29:37.647 -0700 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest. 2016-09-07 01:29:42.654 -0700 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest. 2016-09-07 01:29:47.661 -0700 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest. 2016-09-07 01:29:52.668 -0700 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest. 2016-09-07 01:29:57.674 -0700 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest. 2016-09-07 01:30:02.683 -0700 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest. 2016-09-07 18:07:09.640 -0700 Processed 5 ldap users for group mapping PANTAC. Added 5 unique usernames to username vector. 2016-09-07 18:07:09.667 -0700 Building userinfo.xml takes 0s 2016-09-07 18:07:42.699 -0700 Built 5 unique users table, vsys 1. 2016-09-07 18:07:42.699 -0700 Sending serialized vsys 1 credential map of 119 bytes to slots 0xffffffff. 2016-09-07 18:25:18.419 -0700 UIA 10.192.0.198 new Credential BF: digest 1fbd572bdf1f5170edb13d6e4d32ba86, 4 users, 8 KB. 2016-09-07 18:26:00.506 -0700 Sending serialized vsys 1 credential BF of 8217 bytes to slots 0xffffffff.
URL Los registros de filtrado se registrarán en función de la acción definida dentro del URL perfil de filtrado (envío de credenciales de usuario).
URL Los registros de filtrado ahora incluyen una nueva columna "Credencial detectada" que se puede habilitar (deshabilitada de forma predeterminada).
Esta nueva bandera también es visible a través de la vista detallada de registro, así:
Registros de ID usuarios y agentes:
C:\Archivos de programa (x86)\Palo Alto Networks\User- ID Agent\UaDebug.log
09/07/16 18:25:33:088[ Info 798]: New connection 10.46.64.91 : 53029. 09/07/16 18:25:33:103[ Info 871]: Device thread 1 with 10.46.64.91 : 53029 is started. 09/07/16 18:25:33:103[ Info 2899]: Device thread 1 accept finished 09/07/16 18:25:35:131[ Info 2688]: Sent config to UaCredService. 09/07/16 18:25:38:345[ Info 2746]: Received BF Push. Same as current one. 1fbd572bdf1f5170edb13d6e4d32ba86
Registros del ID agente de credenciales de usuario:
C:\Archivos de programa\Palo Alto Networks\User- ID Credential Agent\UaCredDebug.log
09/07/16 12:42:58:568 [ Info 731]: No user in group 09/07/16 12:43:05:448 [ Info 731]: No user in group 09/07/16 12:43:12:296 [ Info 731]: No user in group 09/07/16 12:58:01:193 [ Warn 779]: No user extracted. Domain: PANTAC, 0/4 users. 0/2 preloads. 0 lookup failed. BF version: 1, 0 Patterns, 64 Kbits, 8 KB. 09/07/16 12:58:08:307 [ Warn 779]: No user extracted. Domain: PANTAC, 0/4 users. 0/2 preloads. 0 lookup failed. BF version: 1, 0 Patterns, 64 Kbits, 8 KB. 09/07/16 12:58:17:652 [ Warn 779]: No user extracted. Domain: PANTAC, 0/4 users. 0/2 preloads. 0 lookup failed. BF version: 1, 0 Patterns, 64 Kbits, 8 KB. 09/07/16 12:58:59:876 [ Info 704]: Sent BF to UaService. 3816cb8cc68069d56f558f06709afdf7 09/07/16 12:59:16:391 [ Info 704]: Sent BF to UaService. 6b07c78ef7252377f105652dc6ad5c66 09/07/16 17:27:47:557 [ Info 704]: Sent BF to UaService. C735b0836490dc55f927ca30cb6c9aa2 09/07/16 18:23:45:182 [Error 707]: Failed to send BF to UaService. 09/07/16 18:23:52:265 [Error 707]: Failed to send BF to UaService. 09/07/16 18:23:59:332 [Error 707]: Failed to send BF to UaService.
Como siempre, user- ID Agent también mostrará varios mensajes de registro con el último agente / registros ahora haciendo referencia a las BF empujones, etc...
CLI comandos de depuración :
> debug user-id reset group-mapping all all <value> group mapping to reset
- Además de reajustar las asignaciones de grupo (comportamiento existente) esto también restablecerá la tabla trie/hash de username (credencial en modo de asignación de grupo)
> debug user-id reset credential-filter all reset domain credential and group mapping username filters for all user-id agent <value> specify one agent to reset domain credential and group mapping username filter
- borra todos MP y DP BloomFilters (modo credencial de dominio) y la tabla trie/hash de nombre de usuario (modo de asignación de grupo) para la aplicación de credenciales.
Consejos:
Si hay algún problema con la obtención de credenciales/hash a través de RODC implementaciones, asegúrese de que los grupos destinados a ser incluidos con la detección de credenciales se agregan al "Grupo de RODC replicación de contraseñas permitido."
Si los errores siguen presentes, asegúrese de que estos grupos no se incluyen (de forma predeterminada), en el "Grupo de RODC replicación de contraseñas denegada. A continuación se muestra una lista de miembros del grupo incluidos en este grupo de forma predeterminada (que incluye administradores de dominio).
Los comandos adicionales se pueden ejecutar en el para probar si la DC replicación de secretos para un usuario determinado se realiza correctamente. Si se produce un error, el mensaje que proporciona Windows es extremadamente informativo.
Sintaxis :
repadmin /rodcpwdrepl [DSA_LIST] Hub DC > <User1 DN > [ <User2 DN > <User3 DN >...]
Ejemplo de este comando que puede encontrar en la página de Windows Server Technet:
Repadmin /rodcpwdrepl