PAN-OS 8.0: PAN-OS 网络钓鱼攻击预防
72420
Created On 09/25/18 18:55 PM - Last Modified 03/26/21 16:41 PM
Symptom
本文突出了 8.0 中引入的新功能或功能 PAN-OS 。
什么是网络钓鱼?
- 网络钓鱼是企图通过个人或集团争取向不知情的用户的个人信息利用社会工程技术。
- 网络钓鱼电子邮件都是精心制作,以出现好像已被发送从一个合法的组织,或已知个体。
- 这些电子邮件往往试图诱使用户点击一个链接,将用户带到看起来是合法的欺骗性网站。
- 然后可能会要求用户提供个人信息,如帐户用户名和密码,可以进一步暴露在他们未来的妥协。 此外,这些欺诈性网站可能包含恶意代码。
Environment
- PAN-OS 8.0
- 钓鱼
Resolution
- 网络钓鱼攻击,以获得有效的企业资质证书今天是许多违反的常见因素之一。
- 攻击者获得有效的凭据手段可以径直走入企业网络绕过大多数安全解决方案和不引起怀疑。
- 攻击者可以欺骗用户以各种方式和水平的精巧技术,以获得用户交出其有效的公司凭据。 今天的攻击可能很简单,如引诱用户到一个类似外观的域名的假企业登录,以站起来一个流氓Outlook网络访问 OWA () 服务器或在身份验证页面上创建虚假的单一签名。
- 因为这些更高级的企业网络钓鱼技术不包括共同鉴定机制用于消费银行业务和电子邮件网络钓鱼攻击,我们不能依赖的内容或外观的恶意页后,可以防止网络钓鱼攻击。
功能的说明
- 此功能扩展了 URL 过滤功能,通过基于云的分析服务以及设备本身的启发式操作积极检测目标凭据网络钓鱼攻击。
- 功能检测 HTTP 包含有效公司用户名和潜在密码的表单帖子。 URL-当会话检测到凭据命中时,客户可以在筛选配置文件中配置各种操作(警报/阻止 HTTP )。
用例
客户正面临着使用仿冒公司网页的网络钓鱼网页进行凭据网络钓鱼活动,这些网页托管在合法企业受损的 Web 服务器上。
- 用户收到通过电子邮件或公司电子邮件这些巧尽心思构建的网站的链接。
- 客户将尝试找出意见书,如果企业从内部用户凭据到这些网站,以防止暴露企业资质证书。
详细信息 有三种操作模式:
- 组映射 模式: 从一个或多个 AD 用户组获取用户名列表。 如果 HTTP POST 参数与该列表中的任何用户名匹配,则它是凭据命中。
- IP-用户映射模式: 当 IP 会话的源地址具有已知的 UserID + HTTP POST 该会话中反映用户ID 映射的参数时,就会有凭据命中。
- 域证书模式:当 IP 会话的源地址具有已知的用户ID,并且 HTTP POST 该会话中的参数与属于该用户ID的密码匹配时,它就是凭据命中。
- 此模式(除了需要用户 ID 代理外),还需要用户 ID 凭证代理。
A ACC"主机访问恶意网址"的新小部件将为已登录访问恶意软件和网络钓鱼网站的内部用户计数/图表点击率。 然而,这个小部件是为合法 URL 的类别块 -不会计数或图形命中基于凭据检测。
ACC 部件
配置工作流程:
功能集成到现有的 URL 筛选配置文件中
- 类别选项卡,现在包括另外的用户凭据提交选项已经得到了增强。 选择 (当启用该功能) 提供精细地控制类别访问以及行为类别,如果检测到的网络钓鱼尝试。
URL 过滤配置文件增强功能
- 启用功能是通过一个新的标签,被称为"用户凭据检测"。在此选项卡中,您可以选择 1 3 种模式,以及首选的日志严重性要打印在检测到可疑的仿冒尝试时。
用户凭据检测
- 如果选择了组映射模式,这解锁选项适用于任何组 (默认) 或选择一个已定义的组映射配置。
使用组映射
- 组映射下拉列表基于通过设备选项卡定义的组映射填充 > > 用户标识 > > 组映射设置。 基于组包括列表/筛选器,您可以创建自定义策略/ URL 过滤配置文件,其操作与特定组相关。
组映射
- 一旦用户凭证检测模式被选中 - 为类别定义的适当操作,最后一步将对象(如任何 URL 过滤配置文件的情况)绑定到安全 Policy 。
已添加配置文件
如果检测到命中(即用户映射存在 + URL 类别设置以阻止用户凭凭证检测启用的提交),则将向用户显示块页:
块页
- Windows 代理 :有 (2) 个代理来解锁此功能的全部功能(允许您选择 3 种用户凭据检测模式中的任何一种)。
- 用户 ID 代理
- 用户 ID 代理仍将同时作为标准用户 ID 代理以及支持" IP 用户"或"组映射"等凭据检测模式(仅需检测映射的用户名)。
用户- ID 证书代理
- 凭据代理用于获取通过用户代理馈送的域凭据(密码哈希 ID )。 代理必须位于 Windows 服务器上,而目录服务已作为 RODC 。
- 对于一个 RODC ,允许对象识别在本地的( RODC PRP 密码复制 - policy 即msDS-揭示按需组属性)可以自动递归查询用户保护。
- 或者,用户提供的凭据列表可以放入用户 Id 代理作为 xml 文件
- 凭据代理用于获取通过用户代理馈送的域凭据(密码哈希 ID )。 代理必须位于 Windows 服务器上,而目录服务已作为 RODC 。
- 安全说明:
- 没有凭据或陈旧的存储/文件包含敏感信息是任何地方保留在服务器上运行 UIDAgent 的位置。 这包括临时文件 (如果有),调试日志等。
- 从 UIDAgent 和代理运行的服务器中导出的唯一信息应是 Bloom 过滤器的 Bloom 过滤器和元数据(如凭据计数、用户名最大/最小字符串长度)以及包含在 BF " . 在任何情况,包括故障排除将 UIDAgent 暴露或存储任何密码哈希。
- 用户 ID 代理
注:
主机访问恶意网址 ACC 小部件将 NOT 记录仅通过凭据检测被阻止/记录的内部用户的点击率。 此小部件用于为 URL 所有已通过类别警报/块等从筛选中记录/阻止的用户提供可见性。。。 下面的屏幕截图显示了严格记录的命中/块的 #,用于凭据检测(潜在的网络钓鱼网站),尽管 ACC 小部件报告为"无法显示数据"。如果这些网站被检测为"恶意软件"或"网络钓鱼",那么点击率就会被记录和图形填充。
没有要显示的数据
在实施用户 ID 凭证代理以充分利用所有操作模式时,非常建议通过 Microsoft 的技术网络文档阅读解释管理的最佳实践部署选项 RODC 。
RODCIS REQUIRED部署 UaCred 服务/Ua 服务时。 如果未能遵循建议的标准步骤 MS ,可能导致凭证代理获取域名凭据(或假设所有连接器都正常工作)、无法检索组信息/提取用户等出现故障。。。
限制:
- 密码凭据检查要求用户 Id 代理部署。 无代理部署将起作用,但仅支持用户名匹配(即域名凭据模式需要用户 ID 代理,因为有与凭据服务的依赖关系)。
- 警报/阻止决策与类别相关 URL 。 A 当收到要检查的参数时,可能无法及时识别类别 firewall !
- 在实施用户凭证检测(这需要用户 ID 凭据代理)时,代理位于 Windows MUST 服务器上,将目录服务作为 RODC 。
调试:
组映射同步统计/状态已与"显示用户 ID 代理状态"命令一起显示 CLI 。 但是,更改包括 ( BF ) "布卢姆过滤器"计数器,即: BF BF 将添加每个 UID 代理的最后更新和序列号。 如果 BF UID 代理端配置具有禁用凭据提取选项,最后一个更新时间戳字段标记为禁用。 下面的输出是一个功能齐全的示例,具有用户 ID /证书代理部署。
> show user user-id-agent state all Agent: 10.46.48.104(vsys: vsys1) Host: 10.46.48.104(10.46.48.104):5007 Status : conn:idle Version : 0x5 num of connection tried : 697 num of connection succeeded : 28 num of connection failed : 669 num of status msgs rcvd : 21080 num of request of status msgs sent : 21092 num of request of ip mapping msgs sent : 5587 num of request of new ip mapping msgs sent : 0 num of request of all ip mapping msgs sent : 52 num of user ip mapping msgs rcvd : 122 num of ip msgs rcvd but failed to proc : 0 num of user ip mapping add entries rcvd : 166 num of user ip mapping del entries rcvd : 26 num of bloomfilter requests sent : 4 num of bloomfilter response received : 4 num of bloomfilter response failed to proc : 0 num of bloomfilter resize requests sent : 0 Last heard(seconds ago) : 1 Messages State: Job ID : 0 Sent messages : 26787 Rcvd messages : 21274 Lost messages : 0 Failed to send messages : 0 Queued sending msgs with priority 0 : 0 Queued sending msgs with priority 1 : 0 Queued rcvring msgs with priority 0 : 0 Queued rcvring msgs with priority 1 : 0 Credential Enforcement Status : In Sync Last BF digest received(seconds ago) : 1 Last BF request sent(seconds ago) : 11417 Last BF updated(seconds ago) : 11417 Current BF digest : 1fbd572bdf1f5170edb13d6e4d32ba86
- 当在任何活动筛选配置文件中启用域凭据执行模式时 URL ,将列出从中获取 a 的 UID 代理列表 BF 以及每个文凭的数量 BF 。
- 当在任何活动筛选配置文件中启用组映射执行模式时 URL ,将包括查找 trie/hash 表中的用户名数 - 最小/最大用户名字符串长度。
> show user credential-filter statistics Built 5 unique users table. toi_test_001 : 251 toi_test_002 : 251 phishing001 : 251 phishing002 : 251 bryan : 251
- 另一个预先存在的命令,虽然现在捆绑与凭据执行相关的信息(这也是影子凭据功能统计输出),即:251 URL- 过滤配置文件 ID 的,以及相关的用户名:
> show user group-mapping state all Group Mapping(vsys1, type: active-directory): PANTAC Bind DN : administrator@pantac.local Base : DC=pantac,DC=local Group Filter: (None) User Filter: (None) Servers : configured 1 servers 10.192.0.189(389) Last Action Time: 2546 secs ago(took 0 secs) Next Action Time: In 1054 secs Number of Groups: 1 cn=phishing_test,ou=security groups,dc=etac2008,dc=com Credential Enforcement: 1 URL-Filtering Profiles. URL-Filtering Profile IDs: 251 Usernames: bryan, phishing001, phishing002, toi_test_001 toi_test_002
记录:
此功能集成到 URL 过滤和用户 ID -,许多相同的日志也被使用。
>较少的 mp 日志使用.log
日志现在包括凭据相关日志, 以及 BF 更新, 即:
2016-09-07 01:29:32.640 -0700 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest. 2016-09-07 01:29:37.647 -0700 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest. 2016-09-07 01:29:42.654 -0700 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest. 2016-09-07 01:29:47.661 -0700 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest. 2016-09-07 01:29:52.668 -0700 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest. 2016-09-07 01:29:57.674 -0700 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest. 2016-09-07 01:30:02.683 -0700 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest. 2016-09-07 18:07:09.640 -0700 Processed 5 ldap users for group mapping PANTAC. Added 5 unique usernames to username vector. 2016-09-07 18:07:09.667 -0700 Building userinfo.xml takes 0s 2016-09-07 18:07:42.699 -0700 Built 5 unique users table, vsys 1. 2016-09-07 18:07:42.699 -0700 Sending serialized vsys 1 credential map of 119 bytes to slots 0xffffffff. 2016-09-07 18:25:18.419 -0700 UIA 10.192.0.198 new Credential BF: digest 1fbd572bdf1f5170edb13d6e4d32ba86, 4 users, 8 KB. 2016-09-07 18:26:00.506 -0700 Sending serialized vsys 1 credential BF of 8217 bytes to slots 0xffffffff.
URL 过滤日志将根据 URL 过滤配置文件(用户凭据提交)中的定义操作进行日志记录。
URL 筛选日志现在包括一个新的"已检测到的凭据"列,可以启用(默认情况下已禁用)。
此新的标志也是通过详细的日志视图以及可见的:
标志
用户 ID 代理日志:
C:\程序文件 (x86)\帕洛阿尔托网络\用户- ID 代理\UaDebug.log
09/07/16 18:25:33:088[ Info 798]: New connection 10.46.64.91 : 53029. 09/07/16 18:25:33:103[ Info 871]: Device thread 1 with 10.46.64.91 : 53029 is started. 09/07/16 18:25:33:103[ Info 2899]: Device thread 1 accept finished 09/07/16 18:25:35:131[ Info 2688]: Sent config to UaCredService. 09/07/16 18:25:38:345[ Info 2746]: Received BF Push. Same as current one. 1fbd572bdf1f5170edb13d6e4d32ba86
用户- ID 证书代理日志:
C*程序文件[帕洛阿尔托网络]用户- ID 认证代理\UaCredDebug.log
09/07/16 12:42:58:568 [ Info 731]: No user in group 09/07/16 12:43:05:448 [ Info 731]: No user in group 09/07/16 12:43:12:296 [ Info 731]: No user in group 09/07/16 12:58:01:193 [ Warn 779]: No user extracted. Domain: PANTAC, 0/4 users. 0/2 preloads. 0 lookup failed. BF version: 1, 0 Patterns, 64 Kbits, 8 KB. 09/07/16 12:58:08:307 [ Warn 779]: No user extracted. Domain: PANTAC, 0/4 users. 0/2 preloads. 0 lookup failed. BF version: 1, 0 Patterns, 64 Kbits, 8 KB. 09/07/16 12:58:17:652 [ Warn 779]: No user extracted. Domain: PANTAC, 0/4 users. 0/2 preloads. 0 lookup failed. BF version: 1, 0 Patterns, 64 Kbits, 8 KB. 09/07/16 12:58:59:876 [ Info 704]: Sent BF to UaService. 3816cb8cc68069d56f558f06709afdf7 09/07/16 12:59:16:391 [ Info 704]: Sent BF to UaService. 6b07c78ef7252377f105652dc6ad5c66 09/07/16 17:27:47:557 [ Info 704]: Sent BF to UaService. C735b0836490dc55f927ca30cb6c9aa2 09/07/16 18:23:45:182 [Error 707]: Failed to send BF to UaService. 09/07/16 18:23:52:265 [Error 707]: Failed to send BF to UaService. 09/07/16 18:23:59:332 [Error 707]: Failed to send BF to UaService.
与往常一样,用户 ID 代理还将显示各种日志消息与最新的代理/日志现在引用 BF 推力等。。。
UID 代理日志
CLI 解试命令:
> debug user-id reset group-mapping all all <value> group mapping to reset
- 除了重置组映射 (现有行为) 这将重置用户名 trie/哈希表 (凭据在组映射模式下)
> debug user-id reset credential-filter all reset domain credential and group mapping username filters for all user-id agent <value> specify one agent to reset domain credential and group mapping username filter
- 清除所有 MP 和 DP Bloom 过滤器(域证书模式)和用户名 trie/哈希表(组映射模式)以执行凭据。
提示:
如果通过部署获取凭据/哈希出现任何问题 RODC ,请确保将打算包含在凭据检测中的组添加到"允许 RODC 密码复制组"。
活动目录用户和计算机
如果故障仍然存在,请确保这些组不包括在"拒绝密码复制组"中(默认情况下 RODC )。 以下是默认包含在此组中的组成员列表(包括域管理)。
已拒绝 RODC 密码复制组属性
附加命令可以在上面运行 DC ,以测试特定用户的复制秘密是否成功。 如果发生故障,Windows 提供的消息信息量非常丰富。
语法:
重新帕德明 / 罗德普德普尔 [DSA_LIST] Hub DC <User1 DN >> [ <User2 DN <User3 DN >>...]
从这个命令的例子,你可以找到在Windows服务器技术网页面:
雷帕德明/罗德普特雷普尔