خدمات مایکروسافت ابزاری مفید در دست یک مهاجم
هکرها با بهره برداری از نرم افزارهای مشروع بزرگ شده اند. گزارش های متعدد ارائه شده در کنفرانس Black Hat 2017 نشان داد که راه حل های شرکت مایکروسافت در یک دست مهاجم کاملا مفید می باشد.
شرکت هایی که از راهکارهای ابرهای ترکیبی استفاده می کنند باید ملاحظات امنیتی مختلفی را نسبت به آنهایی که از سیستم های سنتی استفاده می کنند، اتخاذ کنند. در عمل به روز رسانی آنها به اندازه کافی سریع نیستند و این باعث می شود که نقاط ضعف امنیتی ایی وجود داشته باشد که مهاجمان می توانند از آن بهره برداری کنند، همانطور که در ماه ژوئیه در کنفرانس Black Hat 2017 نشان داده شده است. مطالعات نشان داد چگونه یک زیرساخت اداری معمولی می تواند در حقیقت کمک کند که مهاجمان به صورت نامرئی به راهکارهای امنیتی دست پیدا کنند.
هنگامی که هکرهایی با انگیزه مالی به یک شبکه شرکت نفوذ کرده اند، بزرگترین مشکل آنها انتقال و تبادل اطلاعات بین ماشین های آلوده است. اساسا هدف آنها این است که دستگاه های آلوده بدون اخطار سیستم های تشخیص نفوذ (IDS) و سیستم های پیشگیری از دست دادن اطلاعات (DLP) به دریافت دستورات و انتقال اطلاعات سرقت شده بپردازند.
یک مطالعه توسط Ty Miller و Paul Kalinin نشان می دهد چگونه رباتها می توانند از طریق(Active Directory (AD با یک شبکه شرکتی ارتباط برقرار کنند. از آنجا که تمام مشتریان در یک شبکه و اکثر سرورها باید برای احراز هویت به AD دسترسی داشته باشند، سرور AD نقطه مرکزی ارتباط است که برای ایجاد یک حمله botnet بسیار مناسب است.
AD چگونه می تواند در مدیریت یک botnet و استخراج اطلاعات کمک کند؟ بسیار ساده است. به طور پیش فرض، هر مشتری در شبکه می تواند اطلاعات خود را – به عنوان مثال، شماره تلفن کاربر و آدرس ایمیل – در سرور AD به روز کند. دیگر کاربران AD می توانند تمام این اطلاعات را بخوانند، بنابراین یک کانال ارتباطی ایجاد می شود.
یکی از محبوب ترین تکنیک های OneDrive برای کسب و کار این است که تقریبا 80 درصد مشتریان مایکروسافت به صورت آنلاین از خدمات استفاده می کنند. هکرها آن را دوست دارند، به این دلیل که بچه های شرکت فناوری اطلاعات معمولا به سرورهای مایکروسافت اعتماد می کنند، ارتباطات با سرعت بالا این امکان را به آنها می دهد تا بتوانند رمزگشایی را برای آپلود انجام می دهند. در نتیجه، یک هکر به اتصال یک دیسک OneDrive بر روی یک کامپیوتر هدفمند با استفاده از سایر اعتبارهای غیر سازمانی کاربر می پردازد. دیسک را می توان در حالت نامرئی متصل کرد، و شانس تشخیص را کاهش می دهد. مهاجم به دو ابزار دیگر مایکروسافت نیاز دارد، یعنی Internet Explorer و PowerShell. در نتیجه، یک ربات می تواند آزادانه داده ها را روی دیسک “خود” کپی کند و مهاجم به سادگی می تواند از OneDrive دانلود کند.
بر طبق گفته Dods، برای جلوگیری از چنین حملاتی، باید محدودیت دسترسی به Subdomains آفیس 365 را که تنها متعلق به شرکت است ، محدود شود.
مجرمان سایبری باید برای رسیدن به هدف خود به زیرساخت قربانی نفوذ کنند. با این وجود، هنگامی که آنها این کار را انجام می دهند، فعالیت آنها توسط اکثریت راه حل های امنیتی نیز قابل شناسایی نخواهد بود. به همین دلیل است که به طور دوره ای تجزیه و تحلیل زیرساخت های فناوری اطلاعات برای شناسایی میزان آسیب پذیری منطقی است.
منبع : https://www.kaspersky.com/blog/services-as-a-weapon/17971/
اولین دیدگاه را ثبت کنید