0

سرویس های مایکروسافت به عنوانی سلاحی در حمله به سازمان های بزرگ  

 
هکرها در سوء استفاده از نرم افزارهای قانونی خیلی پیشرفته شده اند. چندین سخنرانی در کنفرانس Black Hat مطرح می کند که راهکارهای مایکروسافت برای سازمان های بزرگ خیلی به کمک هکر ها می آیند.شرکت هایی که از کلود های ترکیبی استفاده می کنند باید ملاحظات امنیتی مختلفی را در نظر داشته باشند. ولی آنها با سرعت کافی خودشان را بروز نمی کنند و نتیجه این می شود که نقاط کور امنیتی بسیاری در شبکه شرکت بوجود می آید که هکر ها می توانند از آنها استفاده کنند. مطالعات نشان می دهند که چگونه یک زیر ساخت آفیس معمول می تواند به هکر ها کمک کند که برای اکثریت راهکارهای امنیتی مخفی باقی بمانند.

 

skype-and-type-featured-1 copy


وقتی هکر ها به شبکه شرکتی نفوذ می کنند، بزرگترین دشواری آنها تحقق نقل و انتقال پنهانی داده در بین ماشین های آلوده است. اساسا هدف آنها این است که کاری کنند که این ماشین های آلوده دستور دریافت کنند و اطلاعات دزدیده شده را بدون اخطار به سیستم های تشخیص نفوذ و سیستم های جلوگیری از نشت داده انتقال دهند. در کمک به اهداف این هکر ها، سرویس های مایکروسافت گاهی اوقات تحت قوانین محدودیت های امنیتی عمل نمی کنند، بنابراین داده های منتقل شده توسط این سرویس ها به اندازه کافی اسکن نمی شود.


مطالعه تای میلر و پاول کالینین نشان می دهد که بات ها می توانند از طریق سرویس های Active Directory در شبکه شرکت پیام منتقل کنند. از آنجائیکه اکثر کلاینت ها از جمله کلاینت های موبایل روی یک شبکه و اکثریت سرورها باید به AD برای احراز هویت دسترسی پیدا کنند. یک سرور AD یک نقطه ارتباطی مرکزی است، که برای مدیریت botnet بسیار مناسب است. علاوه براین، محققان می گویند که ادغام یک Azure AD با سرور AD یک سازمان دسترسی مستقیم به botnet از بیرون را فراهم می آورد.


چگونه یک AD می تواند در مدیریت botnet و بیرون کشیدن داده کمک کند؟ مفهوم آن خیلی ساده است. به صورت پیش فرض، هر کلاینت در شبکه می تواند اطلاعات خود را به روز رسانی کند، برای مثال، شماره تلفن کاربر و آدرس ایمیل روی یک سرور AD . حوزه هایی که قابل نوشته شدن هستند ظرفیت زیادی دارند، ظرفیتی در حدود چندین مگابایت داده. دیگر کاربرها می توانند همه این اطلاعات را بخوانند، بنابراین از این طریق یک کانال ارتباطی ایجاد می شود.


کریگ دادز به دیگر تکنیک ها برای استخراج پنهانی داده ها با استفاده از سرویس های 365 آفیس اشاره می کند. محبوبترین آنها تکنیک های هستند که از OneDrive for Business استفاده می کنند که تقریبا 80 درصد مشتری های سرویس های آنلاین مایکروسافت از آن استفاده می کنند. این سرویس ها محبوب هکر ها هستند چرا که متخصصان IT  معمولا به سرور های مایکروسافت اعتماد می کنند، همچنین این سرویس ها به آنها اجازه ارتباط سریع می دهد و رمزنگاری آپلود داده را حذف می کند. در نتیجه، تکلیف هکر در این خلاصه می شود که با مشخصات غیر سازمانی کاربرها به OneDrive disk کامپیوتر هدف مرتبط شود. در آن صورت کپی داده ها روی One Drive تلاشی برای بیرون بردن داده از محیط سازمانی تلقی نمی شود، و بنابراین سیستم های امنیتی فرض می کنند که دیسک مرتبط شده یک دیسک سازمانی است. حمله کننده به دو ابزار دیگر مایکروسافت دیگر نیز احتیاج دارد، Internet Explorer و Powershell . در نتیجه بات می تواند به راحتی داده ها را روی دیسک خودش کپی کند و هکر آن را از OneDrive دانلود کند.


دادز می گوید برای اینکه از چنین حمله هایی در امان بمانیم، کاربران باید دسترسی را تنها به زیر دومین های سازمانی 365 آفیس که به شرکت تعلق دارند، محدود کنند. همچنین بررسی عمیق ترافیک رمزنگاری شده و تحلیل رفتار اسکریپت Powershell در یک سندباکس نیز توصیه می شود.


البته توجه کنید که هر دوی این تهدیدات هنوز فرضی هستند. برای استفاده از این تکنولوژی ها، مجرمان سایبری باید به طریقی وارد زیر ساخت قربانی شوند. وقتی چنین کاری را انجام دادند، فعالیت آنها نه تنها برای اکثریت راهکارهای امنیتی به روز غیر قابل تشخیص خواهد بود، بلکه برای کاربری که آمادگی ذهنی ندارد نیز غیر قابل تشخیص خواهد بود.