برای باج افزار ابری آماده شوید!

برای باج افزار ابری آماده شوید!

نقل قول معروف ویلی ساتون در مورد دلیل سرقت از بانک ها وجود دارد: "چون پول اینجاست!"
مهاجرت داده ها و برنامه های کاربردی به سرویس های ابری به دلیل پاندمی کرونا افزایش یافته است، و از آنجایی که تقریباً همه داده‌های با ارزش به ابر منتقل می‌شوند، بدون شک مهاجمان به سراغ ابر خواهند رفت!

دو نوع حمله سایبری که در سال گذشته بر اخبار غالب بوده اند: باج افزارها و حملات نرم افزاری و supply-chain. موارد اولی عمدتاً توسط هکرهایی انجام می شود که به دنبال کسب سود سریع هستند. در مقابل، حملات اخیر عمدتاً در حوزه دولت-ملت‌ها بوده است که به دنبال جمع‌آوری اطلاعات و سواستفاده از آنها هستند.

احتمال زیادی وجود دارد که این دو رویکرد شروع به همگرایی کنند - و این اتفاق در فضای ابری خواهد افتاد!

یکی از نمونه‌هایی از این اتفاق، حمله باج‌افزاری است که از نرم‌افزار Kaseya استفاده می‌کرد – اما این یک نوع متفاوت از حمله زنجیره supply-chain بود، زیرا زنجیره supply-chain متشکل از ارائه‌دهندگان خدمات امنیتی مدیریت شده (MSSP) بود که نرم‌افزار Kaseya را از طرف خود میزبانی می‌کردند. مشتریان خود Kaseya (برخلاف SolarWinds) هک نشدند و تمام اقدامات در سیستم های دیگر رخ داد!

چرا باج افزار و زنجیره supply-chain در حال همپوشانی هستند؟ از لحاظ تاریخی، آنچه به عنوان تکنیک هایی جهت پیدا کردن حفره های امنتی به کار گرفته میشد، به ابزارهایی تبدیل شدند که هکرها در حملاتی که دنبال سود اند، از آنها استفاده کنند. در این مورد هم همین اتفاق خواهد افتاد. بنابراین، مفید است که ابزارها و تکنیک های به کار رفته در حملات زنجیره supply-chain به عنوان پیشگیری از حملات باج افزاری استفاده کنیم.

بکار بردن تکنولوژی ابری در حملات supply-chain

بسیاری از حملات دولت-ملت شامل اجزای ابری هستند - آنها اغلب اقدام های حملات سنتی را با اقدامات تحت ابر ترکیب و مطابقت می دهند.

هک SolarWinds یک نمونه بود. Cozy Bear (معروف به SVR روسی) پس از هک کردن SolarWinds و ساخت و وارد کردن محموله‌ای در نرم‌افزار Orion، منتظر ماند تا به‌روزرسانی‌های نرم‌افزار منتشر شود و سرورهای الوده Orion با سرویس دهنده تماس بگیرند. آنچه که از آنجا دنبال شد، انتخاب دقیق اهداف با ارزش بالا برای هدف گذاری بود.

یکی از رویکردهای رایج، که در چندین هدف مشاهده شد، این بود که مهاجمان به سرقت کلید امضای گواهی SAML ادامه دادند. هدف نهایی این بود که بتوانند هویت یک کاربر احراز هویت شده را جعل کنند که به داده‌ها در Office 365 یا سایر برنامه‌های کاربردی ارائه‌شده به عنوان سرویس (SaaS) دسترسی دارد.

اخیراً، همان هکرها (که توسط مایکروسافت به عنوان Nobelium نامیده می شود) گزارش شده است که MSSP ها را هک می کنند تا به اعتبار حساب های ادمین دسترسی پیدا کنند. اینها برای ایجاد حساب‌ها در Azure Active Directory (AD)، و سپس به سمت AD در شبکه محلی قربانی استفاده شدند.

همه اینها در شرایطی است که نظارت بر امنیت دارای یک دامنه خاص است (دیتا سنتر، کلود، هویت فدرال، end points، و غیره) - به طور کلی، نظارت امنیتی که توسط اکثر سازمان‌ها اجرا می‌شود کار خوبی در پیوند دادن این حوزه‌ها انجام نمی‌دهد. این یک مزیت دیگر برای مهاجمان پیشرفته است. همانطور که آنها در این مناطق به سرعت در حال عبور هستند، معمولاً می توانند روی هر رفتار کمی مشکوک در یک حوزه حساب کنند که منجر به نگرانی در حوزه بعدی نمی شود.

ماهیت سنتی حملات باج افزار

در مقابل، بیشتر حملات باج افزاری که خبرساز شده اند، نسبتاً هکر های معمولی بوده اند. آن‌ها از ابزار معروفی استفاده کرده‌اند (مثلاً Mimikatz، Cobalt Strike، BloodHound و غیره) که توسط پنتستر ها برای انجام حملات به محیط‌های نسبتاً سنتی IT استفاده می‌شوند.

هنگامی که آسیب‌پذیری‌های نرم‌افزاری به عنوان بخشی از حمله مورد سوء استفاده قرار می‌گیرند، معمولاً از طریق آسیب‌پذیری‌های شناخته‌شده‌ای است که پچ‌های آن از قبل در دسترس هستند اما هنوز توسط هدف اعمال نشده‌اند. برای مثال این مورد سوء استفاده میتوان به EternalBlue در انتشار داخلی WannaCry در سال 2017 اشاره کرد - مایکروسافت این پچ را در ماه مارس منتشر کرد، در حالی که شیوع گسترده WannaCry در ماه می اتفاق افتاد.

چرا باج افزار به فضای ابری خواهد آمد؟

نقل قول معروف ویلی ساتون در مورد دلیل سرقت از بانک ها وجود دارد: "چون پول اینجاست." مهاجرت داده ها و برنامه های کاربردی به ابر که در پایان سال 2019 به خوبی در حال انجام بود، به دلیل پاندمی کرونا افزایش یافته است. و از آنجایی که تقریباً همه داده‌های با ارزش به ابر منتقل می‌شوند، چه به برنامه‌های SaaS یا به پشته‌های عمومی کلود، بدون شک مهاجمان به سراغ ابر خواهند رفت.

و به لطف حملات supply-chain ، اطلاعات دقیق در مورد نحوه عملکرد ابرها و نحوه حمله به آنها کالایی می شود. بنابراین هنگامی که پول به ابر منتقل می شود، توانایی حمله به آنجا محدود به گروه های دولتی نخواهد بود.

باج افزار در فضای ابری چگونه خواهد بود؟

در اکثر حملات، این سوال وجود دارد که نقطه ورود اولیه چه خواهد بود و چگونه این جایگاه اولیه برای دسترسی به داده های ارزشمند گسترش می یابد.

ما قبلاً چندین نقطه ورود به حملات مربوط به ابر را دیده‌ایم:

تصاحب حساب : به خطر انداختن  End pointمتعلق به سازمان با ترغیب کاربران به ارائه اعتبار حساب در مبادلات به ظاهر قانونی.

تسخیر سیستم هویت : سرقت کلید امضای SAML سازمان به مهاجم اجازه می‌دهد تا مانند هر حساب دیگری در سیستم احراز هویت کند.

DMZ گسترده : ترافیک داده های مورد استفاده سازمان یا همان workloads (اغلب توسط تیم های توسعه نرم افزار ایجاد می شود) در ابر عمومی که اصلاح نشده یا ایمن نیستند و بدون اینکه تیم امنیتی سازمان از آنها مطلع باشد در اینترنت قابل دسترسی هستند.

حرکت جانبی (از نقطه ورود تا رسیدن به داده های مورد هدف) در ابر تقریباً همیشه شامل اعتبارنامه های سرقت شده یا جعل هویت یا نفوذ در API های موجود است. سیستم‌های ابری دارای APIهای فوق‌العاده قدرتمندی هستند - به ویژه برای اعتبارنامه‌های ممتاز - که مهاجمان را قادر می‌سازد تا به سرعت به سمت هدف نهایی خود پیشرفت کنند.

چه باید کرد؟

کارهایی وجود دارد که سازمان ها می توانند برای آماده شدن برای این حملات انجام دهند:

اطمینان حاصل کنید که کلید امضای SAML خود را تحت کنترل فوق‌العاده دقیق نگه دارید و هرگونه دسترسی به سیستمی را که از کلید استفاده می‌کند نظارت کنید.

خط‌مشی‌های احراز هویت چندعاملی (MFA) خود را مرور کنید – با اینکه همه ادعا می‌کنند که MFA برای همه حساب‌ها فعال است، اما اکثر مشتریان Azure AD این کار را از طریق خط‌مشی‌های دسترسی مشروط ( (conditional accessانجام می‌دهند، که اغلب حاوی منطق متناقضی است که ممکن است policy شما را انجام دهد یا ندهد.

مجوزهای اعطا شده به هویت‌های قابل دسترسی در فضای ابری خود را مرور کنید.

ایجاد حساب‌های دارای دسترسی جدید و همچنین هرگونه استفاده از حساب‌های ادمین را به دقت نظارت کنید.

ردپای قابل دسترسی به اینترنت خود را بشناسید – در صورت امکان، policyهایی را اجرا کنید که مانع از افشای تصادفی ردپای ابری شما توسط توسعه در اینترنت می شود و با این فرض که چنین policyهایی ممکن است شکست بخورند، دائماً چنین حوادثی را اسکن کنید.

بخش قابل توجهی از pentestخود را به برنامه‌های ابری عمومی و SaaS خود منتقل کنید - ببینید واقعاً چقدر هدف سختی هستید!

و بدیهی است که بر روی داده‌هایی که بیشتر به آن‌ها اهمیت می‌دهید، کنترل‌های دقیقی اعمال کنید و بازیابی داده‌ها را از بک آپ های جدا شده تمرین کنید.

منبع: www.threatpost.com