حمله به امنیت سازمان : سرویس های مایکروسافت به عنوان یک سلاح

shape
shape
shape
shape
shape
shape
shape
shape

هکرها با اکسپلویت نرم افزارهای قانونی رشد کرده‌اند. گزارش‌های متعددی در اجلاس بلک‌هت ۲۰۱۷ نشان داده‌اند که راهکارهای سازمانی مایکروسافت در دستان یک مهاجم می‌تواند کاملا کاربردی باشد.
شرکت‌هایی که از سیستم‌های هیبرید ابری استفاده می‌کنند نسبت به شرکت‌هایی که سیستم‌های سنتی ابری دارند باید ملاحظات امنیتی متفاوتی را در نظر بگیرند. گرچه، همان‌طورکه در این اجلاس بیان شده، این ملاحظات به سرعت کافی به‌روز رسانی نمی‌شوند و در نتیجه باعث به‌وجود آمدن نقاط کور امنیتی شده تا مهاجم بتواند از آن بهره‌برداری کند. مطالعات نشان داده‌اند که یک زیرساخت اداری معمولی چه‌طور به مهاجمان کمک می‌کند که از دید اکثر راهکارهای امنیتی مخفی بماند. وقتی هکری با انگیزه‌ی مالی به شبکه یک شرکت نفوذ کند، بزرگترین مشکل او پنهان کردن تبادل داده‌ها بین ماشین‌های آلوده است. اساسا هدف او این است که ماشین‌های آلوده‌ای داشته باشد تا دستوراتش را دریافت کنند و اطلاعات به سرقت رفته را بدون آگاهی سیستم های IDS و DLP انتقال دهد. اما گاهی سرویس‌های مایکروسافت در محدودیت‌های ناحیه امنیتی کار نمی‌کنند؛ که این باعث می‌شود داده‌های منتقل شده توسط این سرویس‌ها بصورت عمیق اسکن نشوند. مطالعه‌ای توسطTy Miller و Paul Kalinin نشان داده که بات‌ها چطور می‌توانند از طریق سرویس اکتیودایرکتوری در شبکه یک شرکت با هم ارتباط برقرار کنند. از آن‌جا که همه‌ی کلاینت‌ها‌ی شبکه (که شامل موبایل‌ها هم می‌شود) و اکثر سرورها برای احرازهویت باید به اکتیودایرکتوری دسترسی داشته باشند، این سرور اکتیودایرکتوری یک «نقطه ارتباط مرکزی» محسوب می‌شود که برای مدیریت یک بات‌نت بسیارایده‌آل است. به‌علاوه، محققان می‌گویند یکپارچه کردن Azur اکتیودایرکتوری با سرور سازمانی اکتیودایرکتوری دسترسی مستقیم به یک بات‌نت را در خارج شبکه فراهم می‌کند.
چگونه اکتیودایرکتوری در مدیریت یک بات‌نت و استخراج داده‌ها کمک می‌کند؟ مفهوم بسیارساده است. همان طور که می‌دانیم، به‌طور پیش‌فرض، هر کلاینت شبکه می‌تواند اطلاعات خود را (مثل شماره تلفن و آدرس ایمیل) در سرور اکتیودایرکتوری آپدیت کند.این اطلاعات فیلدهای قابل نوشتنی هستند که برخی از آن‌ها ظرفیت بالایی تا حد یک مگابایت دارند. چون کاربران دیگر اکتیودایرکتوری می‌توانند این اطلاعات را بخوانند، بنابراین این کانال ارتباطی شکل می‌گیرد.

محققان پیشنهاد می‌کنند که فیلد‌های اکتیودایرکتوری به صورت دوره‌ای مانیتور شوند تا تغییرات غیرعادی شناسایی شده و دسترسی کاربر برای تغییر فیلدهای غیرضروری گرفته شود.

مطالعه‌ای توسط Craig Dods از جونیپر نتورکز تکنیک‌های دیگری را برای پنهان کردن استخراج داده‌ها با استفاده از سرویس‌های آفیس ۳۶۵ روشن می‌کند. از محبوب‌ترین این تکنیک‌ها استفاده از نسخه‌ی کسب و کار One Drive است؛ که ۸۰٪ از کلاینت‌های سرویس آنلاین مایکروسافت از آن استفاده می‌کنند. از آن‌جا که تیم IT شرکت اغلب به سرورهای مایکروسافت اعتماد دارند و برای آن‌ها اتصالی با سرعت بالا در نظر می‌گیرند و از رمزگشایی آپلودها چشم‌پوشی می‌کنند، هکرها جذب این موضوع می‌شوند.
درنتیجه کاری که یک هکر می‌کند این است که دیسک One Drive را با کاربری یک یوزر غیر سازمانی متصل می‌کند. در این مورد کپی شدن داده‌ها به One Drive به معنی بیرون رفتن آن‌ها از محیط داخلی تلقی نمی‌شود و سیستم‌های امنیتی فرض می‌کنند که دیسک متصل یکی از دیسک‌های سازمانی است. این دیسک می‌تواند در مد پنهان متصل شده و شانس شناسایی را کم کند. مهاجم به دو ابزار مایکروسافتی دیگر به نام اینترنت اکسپلورر و پاورشل نیاز دارد. سپس بات موردنظر می‌تواند به راحتی داده‌ها را به دیسک خودش کپی کرده تا مهاجم بتواند آن را به سادگی از One Drive دانلود نماید.

به گفته Dods برای در امان بودن از چنین حملاتی، کاربران باید فقط محدود به استفاده از زیردامنه‌های سازمانی آفیس ۳۶۵ باشند. همچنین اجرای یک بازرسی عمیق از ترافیک رمزنگاری شده و تحلیل رفتار اسکریپت‌های پاورشل در یک Sandbox نیز توصیه می‌شود.
توجه داشته باشید که هردو این تهدیدات هنوز فرضی هستند. برای استفاده از این فناوری، مجرمان سایبری باید به گونه‌ای شروع به آلوده کردن زیرساخت قربانی، کنند. با این وجود به محض انجام این کار فعالیت‌های آن‌ها نه تنها از دید اکثر راهکارهای امنیتی بلکه برای ناظر غیرآماده نیز قابل شناسایی نخواهد بود. به همین علت است که تحلیل دوره‌ای زیرساخت IT به منظور شناسایی آسیب‌پذیری‌ها یک امر منطقی به شمار می‌رود.
از این رو، ما در شرکت اورین مجموعه‌ی کاملی از خدمات تخصصی داریم تا آن‌چه را که در زیرساخت شبکه‌ی شما از نقطه نظر امنیت اطلاعات می‌گذرد تحلیل کرده و در صورت لزوم سیستم را برای تشخیص نفوذ چک کنیم.

+ منبع

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *