Genel Bakış
EvilTokens, Microsoft 365 ve Azure hesaplarını hedef alan, özellikle 'cihaz kodu' (device code) akışını manipüle eden gelişmiş bir kimlik avı (phishing) kitidir. Bu saldırı türü, geleneksel MFA (Çok Faktörlü Kimlik Doğrulama) yöntemlerini atlatabildiği için kurumlar için ciddi bir risk oluşturmaktadır.
Saldırı Mekanizması
Saldırganlar, kurbanları meşru görünen bir Microsoft oturum açma sayfasına yönlendirir. Kurban, kendisine verilen cihaz kodunu girdiğinde, saldırganın kontrolündeki EvilTokens altyapısı bu kodu kullanarak geçerli bir erişim belirteci (access token) elde eder. Bu sayede saldırgan, kurbanın oturumuna sızar ve kalıcı erişim sağlar.
Savunma ve Önleme Adımları
- Koşullu Erişim (Conditional Access) İlkeleri: Sadece güvenilir cihazlardan veya uyumlu cihazlardan gelen oturum açma isteklerine izin verin.
- Kullanıcı Eğitimi: Kullanıcıları, tanımadıkları veya beklenmedik cihaz kodu giriş taleplerine karşı eğitin.
- Risk Tabanlı Kimlik Doğrulama: Azure AD Identity Protection kullanarak riskli oturum açma girişimlerini otomatik olarak engelleyin.
İzleme ve Tespit Komutları
Azure AD oturum açma günlüklerini incelemek için aşağıdaki PowerShell komutlarını kullanabilirsiniz:
# Riskli oturum açma girişimlerini listele
Get-MgAuditLogSignIn -Filter "riskDetail ne 'none'"
# Cihaz kodu akışı ile yapılan oturum açmaları filtrele
Get-MgAuditLogSignIn | Where-Object {$_.AuthenticationRequirement -eq 'deviceCode'}
Dikkat: Cihaz kodu akışı, özellikle IoT cihazları ve tarayıcısı olmayan uygulamalar için gereklidir. Bu akışı tamamen kapatmak iş süreçlerini aksatabilir; bu nedenle sadece belirli kullanıcı grupları için kısıtlanması önerilir.
Kurumsal güvenliğinizi artırmak için 'Microsoft Authenticator' numara eşleştirme (number matching) özelliğini mutlaka aktif edin. Bu, EvilTokens gibi saldırıların kurban tarafından fark edilmesini kolaylaştıracaktır.
