PAN-OS 8.0 : Prévention des PAN-OS attaques de phishing

PAN-OS 8.0 : Prévention des PAN-OS attaques de phishing

72430
Created On 09/25/18 18:55 PM - Last Modified 03/26/21 16:41 PM


Symptom


Cet article met en évidence une nouvelle fonctionnalité introduite dans PAN-OS 8.0. 

Qu’est-ce que le phishing ?
  • L’hameçonnage est une tentative par un individu ou un groupe de solliciter des informations personnelles des utilisateurs peu méfiants en employant des techniques d’ingénierie sociale.
  • Les e-mails de phishing sont fabriqués pour apparaître comme si ils ont été envoyés par une organisation légitime ou connus individuels.
    • Ces e-mails essaient souvent d’inciter les utilisateurs à cliquer sur un lien qui mènera à l’utilisateur d’un site Web frauduleux qui semble légitime.
    • L’utilisateur puis demandera peut-être de fournir des informations personnelles, telles que les noms de compte et mots de passe, qui peuvent encore les exposent aux futurs compromis. En outre, ces sites Web frauduleux peut-être contenir du code malveillant.

Environment


  • PAN-OS 8.0
  • Phishing

Resolution


 
Problème / Solution
  • Les attaques par phishing pour obtenir des informations d’identification valides corporatifs sont un des facteurs communs à nombreuses violations aujourd'hui.
  • Obtention de moyens d’informations d’identification valides l’attaquant peut marcher à droite dans le réseau d’entreprise sans passer par la plupart des solutions de sécurité et ne pas éveiller les soupçons.
  • Les attaquants peuvent tromper les utilisateurs dans une multitude de moyens et de niveaux de sophistication pour permettre aux utilisateurs de remettre leurs lettres de créance de la société valide. Attaques aujourd’hui peut être aussi simple que leurre d’un utilisateur à une fausse entreprise de connexion sur un domaine similaire à la recherche de debout un rogue Outlook Web Access ( ) serveur ou la création de OWA faux mono-signe sur les pages d’authentification.
  • Parce que ces techniques plus avancées de phishing entreprise ne comprennent pas les mécanismes d’identification commun utilisés dans consumer banking et les attaques par phishing webmail, nous ne pouvons compter sur le contenu ou l’apparence de page malveillants afin d’éviter l’attaque de phishing.


Description de la fonctionnalité

  • Cette fonctionnalité étend les URL capacités de filtrage pour détecter activement les attaques ciblées d’hameçonnage d’informations d’identification par le biais d’un service d’analyse basé sur le cloud ainsi que par heuristique sur l’appareil lui-même.
  • La fonctionnalité détecte les publications HTTP de formulaire contenant des noms d’utilisateur d’entreprise valides et des mots de passe potentiels. Le client peut configurer diverses actions (alerte/bloc) dans un URL- profil de filtrage lorsqu’un coup d’identification est détecté pour une HTTP session.
Diagramme

2016-11-30_16-26-08.png

Utiliser Case
Le client fait face à une campagne d’hameçonnage d’informations d’identification utilisant des pages Web de phishing imitant une page d’entreprise, qui sont hébergées sur des serveurs Web compromis d’entreprises légitimes.

  • Les utilisateurs reçoivent les liens vers ces sites spécifiquement conçus via webmail ou de messagerie d’entreprise.
  • Les clients cherche à identifier les présentations si entreprise informations d’identification des utilisateurs internes à ces sites pour éviter d’exposer des informations d’identification d’entreprise.


Détails
Il existe trois modes d’exploitation :

  • Mode de cartographie de groupe : Obtient une liste de noms d’utilisateur d’un ou de plusieurs groupes AD d’utilisateurs. Si un HTTP POST paramètre correspond à l’un des noms d’utilisateur de cette liste, il s’agit d’un succès d’identification.
  • IP-Mode de cartographie des utilisateurs : Lorsque l’adresse source IP d’une session a un UserID connu + un HTTP POST paramètre dans cette session reflétant la cartographie UserID, il y a un succès d’identification.
  • Mode d’identification de domaine: Lorsque l’adresse source IP d’une session a un UserID connu, et HTTP POST qu’un paramètre de cette session correspond au mot de passe appartenant à cet UserID, il s’agit d’un succès d’identification.
    • Ce mode (en plus d’exiger un ID utilisateur-agent), nécessite également un agent ID d’identification de l’utilisateur.


A nouveau ACC widget pour « Hôtes visitant des URL malveillantes » comptera / graph hits pour les utilisateurs internes qui sont connectés visiter malware et phishing sites. Ce widget est cependant pour les blocs de URL catégorie légitimes et ne comptera pas ni les coups de graphique basés sur la détection des informations d’identification.

ACC bitoniau

2016-11-30_16-40-35.png
 

Flux de travail de configuration :
la fonctionnalité s’intègre dans les profils URL de filtrage existants

  • Améliorations ont été apportées à l’onglet catégories, qui comprend désormais l’ajout d’une option de soumission d’informations d’identification utilisateur. Sélection (lorsque la fonctionnalité est activée) fournit un contrôle granulaire sur les accès de catégorie ainsi que le comportement pour cette catégorie, si une tentative de phishing est détectée.

2016-11-30_16-46-16.pngURL Mise à l’eau du profil filtrant

  • Activer la fonctionnalité est via un nouvel onglet appelé « Détection de d’informations d’identification utilisateur. » Dans cet onglet, vous pouvez choisir 1 des 3 modes, ainsi que la gravité du journal favori à imprimer lorsqu’une tentative de phishing présumés a été détectée.

2016-11-30_16-49-01.pngDétection d’informations d’identification utilisateur

  • Si le mode de mappage de groupe est sélectionné, cela ouvre une option d’appliquer à n’importe quel groupe (par défaut) ou pour sélectionner une configuration de mappage de groupe définie.

Utiliser le mappage de groupe
2016-11-30_16-51-02.png

 

  • Groupe de cartographie dans la liste déroulante est remplie issu des mappages de groupes définis via l’onglet périphérique >> Identification utilisateur >> paramètres de mappage de groupe. Sur la base de la liste/filtres du groupe, vous pouvez créer des stratégies personnalisées/ URL profils de filtrage, avec des actions pertinentes pour un groupe spécifique.

Mappage de groupe
2016-11-30_16-56-36.png

  • Une fois que le mode de détection des informations d’identification de l’utilisateur a été sélectionné et les actions appropriées définies pour les catégories, l’étape finale serait de lier l’objet (comme c’est le cas pour URL tout profil de filtrage), à une sécurité Policy .

Profil ajouté 
Screen Shot 2017-02-01 à 11.48.52.png

 

  • Si un succès est détecté (c.-à-d. que la cartographie utilisateur existe + catégorie définie pour bloquer la soumission URL des informations d’identification de l’utilisateur w/ Détection des informations d’identification activée), une page de blocage sera présentée à l’utilisateur :

Page de blocage
2017-02-01_11-53-04.jpg

  • Agents Windows : Il existe (2) agents pour débloquer toutes les fonctionnalités de cette fonctionnalité (vous permettant de sélectionner l’un des 3 modes de détection des informations d’identification utilisateur).
    • Utilisateur- ID Agent
      • L’utilisateur-agent ID fonctionnera toujours à la fois en tant qu’utilisateur-agent standard ainsi qu’en supportant les modes de détection des informations ID d’identification tels que la cartographie utilisateur ou de groupe (qui ne IP nécessite que la détection du nom d’utilisateur cartographié).

    • Agent ID d’identification de l’utilisateur

      • L’agent d’identification est utilisé pour récupérer les informations d’identification de domaine (hashes mot de passe) qui sont alimentés via ID l’utilisateur-agent. L’agent doit résider sur un Windows Server w / Directory Services rejoints au domaine en tant que RODC .
        • Pour un RODC , les objets Autoriser identifiés dans le localhost RODC PRP (réplication de mot de passe policy - c’est-à-dire msDS-RevealOnDemandGroup attribut) peuvent être automatiquement interrogés de manière récursive pour les utilisateurs à protéger.
        • Par ailleurs, une liste fournie par l’utilisateur des informations d’identification peut être nourris dans l’Agent de l’ID utilisateur sous forme de fichier xml
    • Informations sur la sécurité :
      • Aucuns informations d’identification ou fade/fichiers de stockage contenant des informations sensibles n’est laissé n’importe où sur le serveur exécutant UIDAgent. Cela inclut les fichiers temporaires (le cas échéant), debug, journaux, etc..
      • Les seules informations exportées à partir de l’UIDAgent et du serveur sur lequel l’agent est en cours d’exécution doivent être les BloomFilters et les métadonnateurs du BloomFilter (tels que les nombres d’informations d’identification, les longueurs de chaîne max/min nom d’utilisateur) et une liste d’interfaces utilisateur incluses dans le BF . En aucun cas, y compris dépannage le UIDAgent exposer ou stocker un hachage du mot de passe.


Remarques:
Les hôtes visitant le widget URL malveillantes ACC NOT enregistreront les visites pour les utilisateurs internes uniquement bloqués/enregistrés via la détection des informations d’identification. Ce widget est utilisé pour donner de la visibilité à tous les utilisateurs qui ont été connectés / bloqués de URL filtrage via des alertes de catégorie / blocs, etc ... La capture d’écran ci-dessous montre un # de hits / blocs enregistrés strictement pour la détection des informations d’identification (sites potentiels de phishing), bien ACC que le widget signale comme « Pas de données à afficher. » Si ces sites avaient été détectés comme des « logiciels malveillants » ou des « hameçonnages », les visites auraient été enregistrées et le graphique aurait été rempli.

Aucune donnée à afficher
2017-02-01_12-18-45.jpg

  • Lors de la mise en œuvre de l’agent d’identification de l’utilisateur pour tirer pleinement parti de tous les modes de fonctionnement, il est ID fortement conseillé de lire technet doc de Microsoft expliquant les meilleures pratiques options de déploiement pour RODC l’administration.  

    Un RODC IS REQUIRED lors du déploiement de l’UaCredService/UaService. Ne pas suivre les étapes standard MS recommandées par , pourrait entraîner des échecs avec l’agent d’identification aller chercher des informations d’identification de domaine (ou en supposant que tous les connecteurs semblent fonctionnels), l’incapacité de récupérer des informations de groupe / extraire les utilisateurs, etc ...


Limitations:

  • Contrôle d’informations d’identification de mot de passe exige qu’un Agent de l’ID utilisateur qui seront déployés. Le déploiement sans agent fonctionnera, bien qu’il ne supporte que les correspondances de noms d’utilisateur (c.-à-d. que le mode informations d’identification de domaine nécessite un agent utilisateur car ID il y a une dépendance w/ le service d’informations d’identification).
  • Les décisions d’alerte/bloc sont liées URL à des catégories. A catégorie ne peut pas être identifiée à temps lorsque les paramètres à inspecter sont reçus à la firewall !
  • Lors de la mise en œuvre de la détection des informations d’identification de l’utilisateur (qui nécessite ID l’agent d’identification de l’utilisateur), l’agent MUST réside sur un serveur Windows w / Services d’annuaire rejoint au domaine en tant que RODC .


 Débogage:

  • Les statistiques/état de synchronisation de cartographie de groupe sont déjà affichés avec la commande «afficher l’état utilisateur-id-agent CLI ».  Les modifications incluent toutefois ( BF ) « Bloom Filter » compteurs, c’est-à-dire: La BF dernière mise à jour et le numéro de série pour chaque BF UIDAgent sera ajouté. Le dernier BF champ de lampes de temps de mise à jour est marqué comme désactivé si un config côté UIDAgent a désactivé l’option d’extraction des informations d’identification. La sortie ci-dessous est un exemple entièrement fonctionnel w/ un déploiement ID utilisateur/agent d’identification.

> show user user-id-agent state all 
 Agent: 10.46.48.104(vsys: vsys1) Host: 10.46.48.104(10.46.48.104):5007
         Status                                            : conn:idle
         Version                                           : 0x5
         num of connection tried                           : 697
         num of connection succeeded                       : 28
         num of connection failed                          : 669
         num of status msgs rcvd                           : 21080
         num of request of status msgs sent                : 21092
         num of request of ip mapping msgs sent            : 5587
         num of request of new ip mapping msgs sent        : 0
         num of request of all ip mapping msgs sent        : 52
         num of user ip mapping msgs rcvd                  : 122
         num of ip msgs rcvd but failed to proc            : 0
         num of user ip mapping add entries rcvd           : 166
         num of user ip mapping del entries rcvd           : 26
         num of bloomfilter requests sent                  : 4
         num of bloomfilter response received              : 4
         num of bloomfilter response failed to proc        : 0
         num of bloomfilter resize requests sent           : 0
         Last heard(seconds ago)                           : 1
         Messages State:
           Job ID                                          : 0
           Sent messages                                   : 26787
           Rcvd messages                                   : 21274
           Lost messages                                   : 0
           Failed to send messages                         : 0
           Queued sending msgs with priority 0             : 0
           Queued sending msgs with priority 1             : 0
           Queued rcvring msgs with priority 0             : 0
           Queued rcvring msgs with priority 1             : 0
         Credential Enforcement Status : In Sync
           Last BF digest received(seconds ago)            : 1
           Last BF request sent(seconds ago)               : 11417
           Last BF updated(seconds ago)                    : 11417
           Current BF digest : 1fbd572bdf1f5170edb13d6e4d32ba86
  • Lorsque le mode d’application des informations d’identification de domaine est activé dans n’importe quel profil de filtrage URL actif, une liste d’UIDAgents à partir de laquelle un est BF obtenu et le nombre d’informations d’identification est inclus dans chaque BF .
  • Lorsque le mode d’application de la cartographie de groupe est activé dans n’importe quel URL profil de filtrage actif, le nombre de noms d’utilisateur dans la table de trie/hachage de recherche et les longueurs de chaîne min/max du nom d’utilisateur sont inclus.
> show user credential-filter statistics
Built 5 unique users table.
 toi_test_001                            : 251
 toi_test_002                            : 251
 phishing001                             : 251
 phishing002                             : 251
 bryan                                   : 251

 

  • Une autre commande préexistante, bien qu’elle regroupe désormais des informations pertinentes à l’application des informations d’identification (qui ombrage également la sortie des statistiques des fonctionnalités d’identification), c’est-à-dire : 251 URL- profil ID de filtrage, ainsi que les noms d’utilisateur associés :
> show user group-mapping state all
Group Mapping(vsys1, type: active-directory): PANTAC
 
        Bind DN    : administrator@pantac.local
         Base       : DC=pantac,DC=local
         Group Filter: (None)
         User Filter: (None)
         Servers    : configured 1 servers
                 10.192.0.189(389)
                         Last Action Time: 2546 secs ago(took 0 secs)
                         Next Action Time: In 1054 secs
         Number of Groups: 1
         cn=phishing_test,ou=security groups,dc=etac2008,dc=com
         Credential Enforcement: 1 URL-Filtering Profiles.
         URL-Filtering Profile IDs: 251
         Usernames:
         bryan, phishing001, phishing002, toi_test_001
         toi_test_002


Journalisation
: Avec cette fonctionnalité intégrée dans URL Filtering & ID User-, bon nombre des mêmes journaux sont également utilisés.

>'utilisation de mp-log moins.log Log inclut désormais les journaux liés aux informations d’identification, ainsi que les

mises à BF jour, c’est-à-dire :

 

2016-09-07 01:29:32.640 -0700 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest.
2016-09-07 01:29:37.647 -0700 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest.
2016-09-07 01:29:42.654 -0700 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest.
2016-09-07 01:29:47.661 -0700 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest.
2016-09-07 01:29:52.668 -0700 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest.
2016-09-07 01:29:57.674 -0700 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest.
2016-09-07 01:30:02.683 -0700 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest.

2016-09-07 18:07:09.640 -0700 Processed 5 ldap users for group mapping PANTAC. Added 5 unique usernames to username vector.
2016-09-07 18:07:09.667 -0700 Building userinfo.xml takes 0s
2016-09-07 18:07:42.699 -0700 Built 5 unique users table, vsys 1.
2016-09-07 18:07:42.699 -0700 Sending serialized vsys 1 credential map of 119 bytes to slots 0xffffffff.
2016-09-07 18:25:18.419 -0700 UIA 10.192.0.198 new Credential BF: digest 1fbd572bdf1f5170edb13d6e4d32ba86, 4 users, 8 KB.
2016-09-07 18:26:00.506 -0700 Sending serialized vsys 1 credential BF of 8217 bytes to slots 0xffffffff.

 

URL Les journaux de filtrage se connectent en fonction de l’action définie dans URL le profil de filtrage (soumission d’informations d’identification utilisateur).

URL Les journaux de filtrage incluent désormais une nouvelle colonne « Informations d’identification détectées » qui peut être activée (désactivée par défaut).

Ce nouveau drapeau est également visible via la vue détaillée du journal aussi bien :

 

2017-02-01_13-13-56.jpgDrapeaux

Journaux ID utilisateur-agent :

C:\Program Files (x86)\Palo Alto Networks\User- ID Agent\UaDebug.log

 

09/07/16 18:25:33:088[ Info  798]: New connection 10.46.64.91 : 53029.
09/07/16 18:25:33:103[ Info  871]: Device thread 1 with 10.46.64.91 : 53029 is started.
09/07/16 18:25:33:103[ Info 2899]: Device thread 1 accept finished
09/07/16 18:25:35:131[ Info 2688]: Sent config to UaCredService.
09/07/16 18:25:38:345[ Info 2746]: Received BF Push. Same as current one. 1fbd572bdf1f5170edb13d6e4d32ba86

Journaux ID d’agents d’identification de l’utilisateur :

C:\Program Files\Palo Alto Networks\User- ID Agent d’informations d’identification\UaCredDebug.log

 

09/07/16 12:42:58:568 [ Info 731]: No user in group 
09/07/16 12:43:05:448 [ Info 731]: No user in group 
09/07/16 12:43:12:296 [ Info 731]: No user in group  
 
09/07/16 12:58:01:193 [ Warn 779]: No user extracted. Domain: PANTAC, 0/4 users. 0/2 preloads. 0 lookup failed. BF version: 1, 0 Patterns, 64 Kbits, 8 KB.
09/07/16 12:58:08:307 [ Warn 779]: No user extracted. Domain: PANTAC, 0/4 users. 0/2 preloads. 0 lookup failed. BF version: 1, 0 Patterns, 64 Kbits, 8 KB.
09/07/16 12:58:17:652 [ Warn 779]: No user extracted. Domain: PANTAC, 0/4 users. 0/2 preloads. 0 lookup failed. BF version: 1, 0 Patterns, 64 Kbits, 8 KB.

09/07/16 12:58:59:876 [ Info 704]: Sent BF to UaService. 3816cb8cc68069d56f558f06709afdf7
09/07/16 12:59:16:391 [ Info 704]: Sent BF to UaService. 6b07c78ef7252377f105652dc6ad5c66
09/07/16 17:27:47:557 [ Info 704]: Sent BF to UaService. C735b0836490dc55f927ca30cb6c9aa2
 
09/07/16 18:23:45:182 [Error 707]: Failed to send BF to UaService.
09/07/16 18:23:52:265 [Error 707]: Failed to send BF to UaService.
09/07/16 18:23:59:332 [Error 707]: Failed to send BF to UaService.

 

Comme toujours, User- ID Agent affichera également divers messages journaux avec le dernier agent / journaux maintenant référencement BF pousse, etc ...

UID Journaux d'agent
2017-02-01_13-22-52.jpg

 

CLI commandes de débogage :

 

> debug user-id reset group-mapping

all         all
<value>     group mapping to reset

 

  • En plus de la réinitialisation de mappages de groupes (comportement existant) cela réinitialisera également la table de trie/hachage du nom d’utilisateur (informations d’identification en mode groupe-cartographie)
> debug user-id reset credential-filter

all      reset domain credential and group mapping username filters for all user-id agent
<value>  specify one agent to reset domain credential and group mapping username filter

 

  • efface tous et MP DP BloomFilters (mode d’identification de domaine) et table de trie/hachage nom d’utilisateur (mode de cartographie de groupe) pour l’application des informations d’identification.

 

Conseils:
S’il y a des problèmes w/ recherche d’informations d’identification/hachage via des RODC déploiements, assurez-vous que les groupes destinés à être inclus dans la détection des informations d’identification sont ajoutés au « Groupe de RODC réplication de mot de passe autorisé ».

Utilisateurs et ordinateurs actifs d’annuaire
2017-02-01_13-30-51.jpg

Si des échecs sont toujours présents, assurez-vous que ces groupes ne sont pas inclus (par défaut) dans le groupe de RODC réplication de mot de passe refusé. Ce qui suit est une liste de membres du groupe inclus dans ce groupe par défaut (qui comprend les administrateurs de domaine).

Refusé RODC Propriétés de groupe de réplication de
2017-02-01_13-35-12.jpg

mot de passe Des commandes supplémentaires peuvent être exécutes DC sur le test si la reproduction de secrets pour un utilisateur particulier est réussie. En cas d’échec, le message que Windows fournit est extrêmement instructif.

 

Syntaxe :
repadmin /rodcpwdrepl [DSA_LIST] Hub DC > > <User1 DN <User2 DN [> <User3 DN >...]

Exemple de cette commande que vous pouvez trouver sur la page Windows Server Technet :
Repadmin /rodcpwdrepl
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRpCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language