Prestijli ekip aksonu altında çalışan avcılardan bir grup siber güvenlik uzmanı, Azure yönetilen kimliklerin (MIS) yanlış kullanımını tanımlamak ve önlemek amacıyla “Azure Yönetilen Kimlikler: Saldırı ve Savunma, Bölüm 2” başlıklı çığır açan bir araştırma makalesinde sofistike tehdit avı teknikleri sundu.
Bulut ortamları genişlemeye devam ettikçe, Azure hizmetleri için kimlik bilgisi yönetimini basitleştirmek için yanlış tasarlanmış, çift kenarlı bir kılıç haline gelir, bu da yanlış yapılandırıldığında veya tehlikeye atıldığında hem gelişmiş güvenlik hem de potansiyel bir saldırı vektörü sunar.
Bu son araştırma, Bölüm 1’de kapsanan hücum sömürüsünden proaktif savunmaya odaklanarak, güvenlik ekiplerini Azure ekosistemlerini kimlik temelli tehditlere karşı korumak için eyleme geçirilebilir araçlarla donatıyor.
.png
)
Karşı Bulut Kimlik Tehditleri
Araştırmacılar, Azure oturum açma, denetim ve aktivite günlükleri ve Microsoft grafik etkinlik günlükleri de dahil olmak üzere birden fazla Azure günlük kaynağı kullanarak hem sistem atanan yönetilen kimlikleri (SAMIS) hem de kullanıcı atanmış yönetilen kimlikleri (UAMIS) tanımlama ve izleme karmaşıklıklarını araştırırlar.
MIS’i Azure CLI’yi sorgulamak, Azure portalını gözden geçirmek ve günlük verilerini analiz etmek gibi yöntemlerle titizlikle eşleyerek, makale bu insan olmayan kimlikleri (NHIS) envanterleştirmek için sağlam bir temel sağlar.
Öne çıkan şey, sanal makinelerden (VM’ler) açık jeton istekleri, Microsoft Graph aracılığıyla numaralandırma ve alışılmadık IP adreslerinden veya uç noktalardan jeton kullanımı gibi şüpheli davranışları tespit etmek için tasarlanmış, SnowFlake SQL’de hazırlanmış on iki yüksek ila orta sadakat av sorgularının geliştirilmesidir.
Bu sorgular hizmet agnostiktir, dar, hizmete özgü günlüklerden ziyade davranışsal anomalilere odaklanır ve Azure ortamlarında daha geniş uygulanabilirlik sağlar.
Örneğin, bir sorgu, PowerShell gibi araçlar aracılığıyla açık jeton isteklerini işaretlemek için MI tabelalarını ana bilgisayar tabanlı etkinliklerle ilişkilendirirken, sapmaları tespit etmek için başka bir taban çizgisi normal MI eylemleri, potansiyel olarak ayrıcalık artışını veya yanal hareketi gösterir.
Masmavi günlük kaynaklarında algılama
Makale ayrıca, jeton isteklerini analiz ederek, benzersiz belirteç tanımlayıcıları kullanarak günlük kaynakları arasındaki faaliyetleri ilişkilendirerek ve izinlerin patlama yarıçapını değerlendirerek, tehlike altına alınan MIS’i izlemek için ayrıntılı yönergeler sunan olay araştırmasının önemini vurgulamaktadır.
Azure Key Vault ve Depolama gibi hizmetlerden tamamlayıcı günlükler, hassas kaynaklara yetkisiz erişimi ortaya çıkararak araştırmaları daha da zenginleştirir.
Araştırma, bu savunma stratejilerini entegre ederek, bulut saldırısı yüzeyinin kritik bir parçasını oluşturan NHIS’in sıklıkla gözden kaçan risklerini ele almaktadır.
Team Axon’un katkısı, Azure güvenliğinin sınırlarını zorlamak için Netspi ve Karl Fossaen’in Def Con 32 Talk gibi diğer topluluk araştırmacılarının önceki çalışmalarına dayanıyor.
Rapora göre, avcıların yapay zeka destekli SOC platformu bu çabaları destekleyerek daha küçük güvenlik ekiplerini güçlendirmeye tespit ve yanıtı otomatikleştiriyor.
Bu araştırma sadece yeni fikirleri ortaya çıkarmakla kalmaz, aynı zamanda bulutta gelişen kimlik tehditlerinin önünde kalmak için pratik, hemen kullanılabilir araçlar sunar, modern siber güvenlik manzaralarında uyanık izleme ve sağlam savunma mekanizmalarına olan ihtiyacı güçlendirir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!