PAN-OS 8.0: PAN-OS フィッシング攻撃の防止
Symptom
この記事では、8.0 で導入された新機能を紹介 PAN-OS します。
フィッシングとは何ですか?
- フィッシング、ソーシャル エンジニア リングの技術を採用、疑うことを知らないユーザーから個人情報を集めるに個々 の試みまたはグループです。
- 正当な組織から送信されたまたは個々 に知られているされてかのように表示するフィッシング メールが作られます。
- これらのメールは、しばしば正当な表示される不正な web サイトにユーザーを取るリンクをクリックするようユーザーを誘導しようとします。
- ユーザーは、可能性があります求められます、個人情報を提供するなど、アカウントのユーザー名とパスワード、さらには将来の妥協にそれらを公開します。 また、これらの不正な web サイトには、悪意のあるコードがあります。
Environment
- PAN-OS 8.0
- フィッシング詐欺
Resolution
- 企業の有効な資格情報を取得するフィッシング攻撃は、侵害の多くの一般的な要因の今日。
- 攻撃者の有効な資格情報の手段を取得は、ほとんどのセキュリティ ソリューションを迂回し、疑惑を喚起しないエンタープライズ ネットワークに右歩くことができます。
- 攻撃者は、さまざまな方法でユーザーが、有効な会社の資格情報を引き渡すために洗練されたレベルのユーザーを欺くことができます。 今日の攻撃は、偽装された Outlook Web Access ( ) サーバーを立ち上げる OWA 、または認証ページに偽のシングルサインオンを作成するのと同様の見た目のドメインで、偽のエンタープライズ ログインにユーザーを誘い込むのと同じくらい簡単かもしれません。
- これらはより高度なので企業のフィッシング詐欺の手法は消費者金融で使用される共通の識別メカニズムを含まない、ウェブメールのフィッシング攻撃、我々 は内容またはフィッシング攻撃を防ぐために悪意のあるページの外観に依存できません。
機能の説明
- この機能は URL 、クラウドベースの分析サービスやデバイス自体のヒューリスティックを通じて、標的型の資格情報フィッシング攻撃を積極的に検出するフィルタリング機能を拡張します。
- 機能は HTTP 、有効な企業ユーザー名と潜在的なパスワードを含むフォーム投稿を検出します。 お客様は、 URL- セッションで資格情報ヒットが検出されたときに、フィルタリングプロファイルでさまざまなアクション(アラート/ブロック)を設定できます HTTP 。
ユースケース
お客様は、企業ページを模倣したフィッシングウェブページを使用して、正当な企業の侵害されたウェブサーバーでホストされているフィッシングウェブを使用して、資格情報フィッシングキャンペーンに直面しています。
- ユーザーは、ウェブメールまたは企業の電子メールを介してこれらの特別な細工がされた web サイトへのリンクを受け取ります。
- 企業の提出を識別しようとする顧客企業の資格情報の暴露を防ぐためにこれらのウェブサイトへの内部ユーザーからの資格情報。
詳細
操作には 3 つのモードがあります。
- グループ マッピング モード: 1 つ以上のユーザ グループからユーザ名のリスト AD を取得します。 パラメーターがその HTTP POST リストのユーザー名のいずれかに一致する場合、そのパラメーターは資格情報ヒットです。
- IP-ユーザー マッピング モード:IPセッションの送信元アドレスに既知の UserID + HTTP POST UserID マッピングをミラーリングしているそのセッション内のパラメータがある場合、資格情報がヒットします。
- ドメイン資格情報モード: IP セッションの送信元アドレスに既知の UserID があり、 HTTP POST そのセッション内のパラメータが、その UserID に属するパスワードと一致する場合、そのパスワードは資格情報ヒットです。
- このモード (ユーザー- エージェントの要求に加えて ID ) には、ユーザー資格情報エージェントも必要 ID です。
A ACC「悪意のあるURLを訪問するホスト」の新しいウィジェットは、マルウェアとフィッシングサイトを訪問してログに記録されている内部ユーザーのためのカウント/グラフヒットになります。 このウィジェットは、正当な URL カテゴリブロック のためであり、資格情報の検出に基づいてヒットをカウントまたはグラフしません。
ACC ウィジェット
構成ワークフロー:
機能は既存の URL フィルタリング プロファイルに統合されます。
- ユーザー資格情報送信オプションの追加が含まれています、[カテゴリ] タブが強化されました。 選択 (機能が有効な) 場合は、フィッシングの試みが検出された場合、そのカテゴリの動作と同様、両方のカテゴリのアクセスをきめ細かく制御を提供します。
URL プロファイルの絞り込み機能強化
- 「ユーザー資格情報検出」と呼ばれる新しいタブ経由で機能有効にするこのタブ内で疑いのあるフィッシングの試みが検出されたときに出力する最寄りのログの重大度と同様、3 つのモードの 1 を選択できます。
ユーザー資格情報の検出
- グループのマッピング モードを選択した場合、これは (既定) 任意のグループに適用するまたは定義済みのグループのマッピングの構成を選択するオプションをロック解除します。
グループ マッピングを使用します。
- [デバイス] タブで定義されているグループのマッピングに基づくグループ マッピング ドロップ ダウン リストが表示されます > > ユーザー Id > > グループ マッピングの設定。 グループ含むリスト/フィルタに基づいて、 URL 特定のグループに関連するアクションを含むカスタムポリシー/フィルタリングプロファイルを作成できます。
グループのマッピング
- ユーザー資格情報検出モードが選択され、カテゴリに対して適切なアクションが定義されると、最後のステップはオブジェクトを (任意のフィルタリング プロファイルの場合と同様 URL に) セキュリティにバインドすることです Policy 。
プロファイルが追加されました
ヒットが検出された場合 (ユーザーマッピングが存在し、 URL ユーザー資格情報の送信をブロックするカテゴリ設定/ 資格情報の検出が有効)、ブロック ページがユーザーに表示されます。
ブロックのページ
- Windows エージェント : (2) エージェントが存在し、この機能の全機能をアンロックできます (3 つのユーザー資格情報検出モードのいずれかを選択できます)。
- ユーザー - ID エージェント
- ユーザー- ID エージェントは、標準のユーザーエージェントとして機能 ID し、ユーザーまたはグループマッピングなどの資格情報検出モード IP (マッピングされたユーザー名の検出のみが必要) をサポートします。
ユーザー - ID 資格情報エージェント
- 資格情報エージェントは、User-Agent を介して提供されるドメイン資格情報 (パスワード・ハッシュ) を取得するために使用 ID されます。 エージェントは、ドメインに参加している Windows Server に存在する必要があります RODC 。
- の場合 RODC 、ローカルホストで識別される許可オブジェクト RODC PRP (パスワードレプリケーション policy - つまり、msDS-RevealOnDemandGroup 属性) は、ユーザーが保護するために自動的に再帰的に照会できます。
- 資格情報のユーザーが指定したリストまたは、xml ファイルとしてユーザー Id エージェントに与えることができます。
- 資格情報エージェントは、User-Agent を介して提供されるドメイン資格情報 (パスワード・ハッシュ) を取得するために使用 ID されます。 エージェントは、ドメインに参加している Windows Server に存在する必要があります RODC 。
- セキュリティ メモ:
- 資格情報または古い機密情報を含むのストレージ/ファイルが残っていないどこでもサーバーの UIDAgent が実行されています。 これが含まれます (存在する場合) の一時ファイルには、デバッグのログなど。
- UIDAgent およびエージェントが実行されているサーバーからエクスポートされる情報は、ブルーム フィルターとブルーム フィルターのメタ データ (資格情報カウント、ユーザー名の最大/最小文字列の長さなど)、および に含まれる UID のリストだけです BF 。 ないイベント含むトラブルシューティングは、UIDAgent を公開または任意のパスワード ハッシュを保存します。
- ユーザー - ID エージェント
注意:
悪意のある URL ウィジェットを訪問するホスト ACC は、 NOT 資格情報の検出を介してブロック/ログに記録された内部ユーザーのヒットを記録します。 このウィジェットは、 URL カテゴリアラート/ブロックを介してフィルタリングからログ/ブロックされたすべてのユーザーの可視性を付与するために使用されます。 次のスクリーンショットは、資格情報の検出 (潜在的なフィッシング サイト) のために厳密に記録されたヒット/ブロックの数を示していますが ACC 、ウィジェットは 「表示するデータがありません」と報告します。これらのサイトが「マルウェア」または「フィッシング」として検出された場合、ヒットはログに記録され、グラフが入力されたでしょう。
表示するデータはありません。
IDユーザー資格情報エージェントを実装してすべての操作モードを最大限に活用する場合は、Microsoft の TechNet Doc を読んで、管理のベスト プラクティスの展開オプションについて説明することをお勧めします RODC 。
RODC IS REQUIRED UaCred サービス/UaService を展開するとき。 によって推奨される標準的な手順に従わないと MS 、資格情報エージェントがドメインの資格情報を取得する (またはすべてのコネクタが機能していると仮定する) 、グループ情報を取得できない、ユーザーを抽出できないなどのエラーが発生する可能性があります。
制限事項:
- パスワード資格情報のチェックでは、ユーザー Id エージェントを展開します。 エージェントレス展開は機能しますが、サポートするユーザー名のみが一致します(つまり、ドメイン資格情報モード ID では、資格情報サービスとの依存関係が存在するため、ユーザーエージェントが必要です)。
- アラート/ブロック決定はカテゴリに関連 URL 付けられます。 A 検査するパラメータが firewall !
- ユーザー資格情報検出 (ユーザー資格情報エージェントが必要) を実装する場合 ID 、エージェント MUST は Windows Server 上に存在し、 ディレクトリ サービスが ドメインに参加している RODC 。
デバッグ:
グループ マッピング同期の統計情報/状態は、"ユーザー ID-エージェント状態を表示する"コマンドで既に表示 CLI されています。 ただし、変更には( BF ) "ブルーム フィルター" カウンター 、つまり BF 各 BF UIDAgent の最後の更新とシリアル番号が追加されます。 BFUIDAgent 側の構成で資格情報の抽出オプションが無効になっている場合、最後の更新のタイムスタンプ フィールドは無効としてマークされます。 以下の出力は、ユーザー- ID /資格情報エージェントの展開を含む完全に機能する例です。
> show user user-id-agent state all Agent: 10.46.48.104(vsys: vsys1) Host: 10.46.48.104(10.46.48.104):5007 Status : conn:idle Version : 0x5 num of connection tried : 697 num of connection succeeded : 28 num of connection failed : 669 num of status msgs rcvd : 21080 num of request of status msgs sent : 21092 num of request of ip mapping msgs sent : 5587 num of request of new ip mapping msgs sent : 0 num of request of all ip mapping msgs sent : 52 num of user ip mapping msgs rcvd : 122 num of ip msgs rcvd but failed to proc : 0 num of user ip mapping add entries rcvd : 166 num of user ip mapping del entries rcvd : 26 num of bloomfilter requests sent : 4 num of bloomfilter response received : 4 num of bloomfilter response failed to proc : 0 num of bloomfilter resize requests sent : 0 Last heard(seconds ago) : 1 Messages State: Job ID : 0 Sent messages : 26787 Rcvd messages : 21274 Lost messages : 0 Failed to send messages : 0 Queued sending msgs with priority 0 : 0 Queued sending msgs with priority 1 : 0 Queued rcvring msgs with priority 0 : 0 Queued rcvring msgs with priority 1 : 0 Credential Enforcement Status : In Sync Last BF digest received(seconds ago) : 1 Last BF request sent(seconds ago) : 11417 Last BF updated(seconds ago) : 11417 Current BF digest : 1fbd572bdf1f5170edb13d6e4d32ba86
- アクティブなフィルタリングプロファイルでドメイン資格強制モードが有効になっている場合 URL 、UIDAgent のリスト BF から取得され、資格情報の数が各に含まれます BF 。
- アクティブなフィルタリングプロファイルでグループマッピング強制モードが有効になっている場合 URL 、ルックアップトライ/ハッシュテーブル内のユーザ名の数と最小/最大のユーザ名文字列の長さが含まれます。
> show user credential-filter statistics Built 5 unique users table. toi_test_001 : 251 toi_test_002 : 251 phishing001 : 251 phishing002 : 251 bryan : 251
- 別の既存のコマンドは、資格情報の強制(シャドウ資格情報機能の統計情報出力)に関連する情報をバンドルしますが URL- 、251フィルタリングプロファイル ID と関連付けられたユーザー名:
> show user group-mapping state all Group Mapping(vsys1, type: active-directory): PANTAC Bind DN : administrator@pantac.local Base : DC=pantac,DC=local Group Filter: (None) User Filter: (None) Servers : configured 1 servers 10.192.0.189(389) Last Action Time: 2546 secs ago(took 0 secs) Next Action Time: In 1054 secs Number of Groups: 1 cn=phishing_test,ou=security groups,dc=etac2008,dc=com Credential Enforcement: 1 URL-Filtering Profiles. URL-Filtering Profile IDs: 251 Usernames: bryan, phishing001, phishing002, toi_test_001 toi_test_002
ロギング:
フィルタリングとユーザー- に統合されたこの機能を URL 使用して ID 、同じログの多くも利用されます。
mp-log ユーザー idd が少ない>.log
ログには資格情報関連のログと更新が含まれるようになりました BF 。
2016-09-07 01:29:32.640 -0700 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest. 2016-09-07 01:29:37.647 -0700 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest. 2016-09-07 01:29:42.654 -0700 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest. 2016-09-07 01:29:47.661 -0700 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest. 2016-09-07 01:29:52.668 -0700 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest. 2016-09-07 01:29:57.674 -0700 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest. 2016-09-07 01:30:02.683 -0700 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest. 2016-09-07 18:07:09.640 -0700 Processed 5 ldap users for group mapping PANTAC. Added 5 unique usernames to username vector. 2016-09-07 18:07:09.667 -0700 Building userinfo.xml takes 0s 2016-09-07 18:07:42.699 -0700 Built 5 unique users table, vsys 1. 2016-09-07 18:07:42.699 -0700 Sending serialized vsys 1 credential map of 119 bytes to slots 0xffffffff. 2016-09-07 18:25:18.419 -0700 UIA 10.192.0.198 new Credential BF: digest 1fbd572bdf1f5170edb13d6e4d32ba86, 4 users, 8 KB. 2016-09-07 18:26:00.506 -0700 Sending serialized vsys 1 credential BF of 8217 bytes to slots 0xffffffff.
URL ログのフィルタリングは、フィルタリングプロファイル内で定義されたアクションに基づいてログに記録されます URL (ユーザー資格情報の送信)。
URL フィルター ログには、有効にできる新しい [資格情報が検出されました] 列が含まれるようになりました (既定では無効)。
この新しいフラグは、詳細のログも表示を介して表示されるも。
フラグ
ユーザー - ID エージェント ログ:
C:\プログラム ファイル (x86)\パロアルト ネットワーク\ユーザー - ID エージェント\UaDebug.log
09/07/16 18:25:33:088[ Info 798]: New connection 10.46.64.91 : 53029. 09/07/16 18:25:33:103[ Info 871]: Device thread 1 with 10.46.64.91 : 53029 is started. 09/07/16 18:25:33:103[ Info 2899]: Device thread 1 accept finished 09/07/16 18:25:35:131[ Info 2688]: Sent config to UaCredService. 09/07/16 18:25:38:345[ Info 2746]: Received BF Push. Same as current one. 1fbd572bdf1f5170edb13d6e4d32ba86
ユーザー - ID 資格情報エージェント ログ:
C:\プログラム ファイル\パロ アルト ネットワーク\ユーザー - ID 資格情報エージェント\UaCredDebug.log
09/07/16 12:42:58:568 [ Info 731]: No user in group 09/07/16 12:43:05:448 [ Info 731]: No user in group 09/07/16 12:43:12:296 [ Info 731]: No user in group 09/07/16 12:58:01:193 [ Warn 779]: No user extracted. Domain: PANTAC, 0/4 users. 0/2 preloads. 0 lookup failed. BF version: 1, 0 Patterns, 64 Kbits, 8 KB. 09/07/16 12:58:08:307 [ Warn 779]: No user extracted. Domain: PANTAC, 0/4 users. 0/2 preloads. 0 lookup failed. BF version: 1, 0 Patterns, 64 Kbits, 8 KB. 09/07/16 12:58:17:652 [ Warn 779]: No user extracted. Domain: PANTAC, 0/4 users. 0/2 preloads. 0 lookup failed. BF version: 1, 0 Patterns, 64 Kbits, 8 KB. 09/07/16 12:58:59:876 [ Info 704]: Sent BF to UaService. 3816cb8cc68069d56f558f06709afdf7 09/07/16 12:59:16:391 [ Info 704]: Sent BF to UaService. 6b07c78ef7252377f105652dc6ad5c66 09/07/16 17:27:47:557 [ Info 704]: Sent BF to UaService. C735b0836490dc55f927ca30cb6c9aa2 09/07/16 18:23:45:182 [Error 707]: Failed to send BF to UaService. 09/07/16 18:23:52:265 [Error 707]: Failed to send BF to UaService. 09/07/16 18:23:59:332 [Error 707]: Failed to send BF to UaService.
いつものように、User-Agent ID は現在プッシュなどを参照している最新のエージェント/ログを持つさまざまなログメッセージ BF も表示します。
UID エージェント ログ
CLI デバッグ コマンド :
> debug user-id reset group-mapping all all <value> group mapping to reset
- グループ マッピング (既存の動作) をリセットするに加えて、これはまたユーザー名トライ/ハッシュ テーブル (グループ マッピング モードの資格情報) をリセットします。
> debug user-id reset credential-filter all reset domain credential and group mapping username filters for all user-id agent <value> specify one agent to reset domain credential and group mapping username filter
- 資格情報の MP 適用のすべてのと DP ブルーム フィルター (ドメイン資格情報モード) とユーザー名のトライ/ハッシュ テーブル (グループ マッピング モード) をクリアします。
ヒント:
展開を介して資格情報/ハッシュを取得する問題が発生した場合 RODC は、資格情報の検出に含まれる予定のグループが "許可されたパスワード レプリケーション グループ" に追加されていることを確認 RODC してください。
アクティブ ディレクトリ ユーザーとコンピュータ
エラーがまだ存在する場合は、これらのグループが (既定では) 含まれていないことを確認してください。 RODC 次の表は、このグループに既定で含まれるグループ メンバーの一覧です (ドメイン管理者を含みます)。
拒否されました RODC パスワード レプリケーション グループのプロパティ
DC 特定のユーザーのシークレットの複製が成功したかどうかをテストするために、 で追加コマンドを実行できます。 障害が発生した場合、Windows が提供するメッセージは非常に有益です。
構文 :
repadmin /rodcpwdrepl [DSA_LIST] Hub DC > > [ <User1 DN <User2 DN > <User3 DN >.]
このコマンドの例は、Windows サーバーの技術網ページで見つけることができます:
レプシステム /rodcpwdrepl