Son dönemdeki tehdit avcılığı faaliyetleri, konteynerleştirilmiş ortamlarda giden ağ trafiğini ve ikili dosyaları analiz etmeye odaklandı.
Araştırmacılar, bal küpü verilerini tehdit istihbaratı platformlarıyla çapraz referanslayarak, zararsız bir araç olan ffmpeg’in yürütülmesiyle bağlantılı şüpheli ağ olaylarını tespit etti.
Her ne kadar bu özel örnek doğası gereği kötü amaçlı olmasa da, meydana geldiği olağandışı bağlam ve kötüye kullanılma olasılığı nedeniyle endişelere yol açıyordu.
Jupyter ortamları güçlü olsa da, yanlış yapılandırıldığında güvenlik riskleri oluşturur; çünkü güvenli olmayan erişim, belirteçlerin yanlış kullanımı ve güvenlik duvarı eksikliği, hassas verileri ve kodları yetkisiz kullanıcılara açık hale getirebilir.
Gelir akışlarına yönelik tehdit, kolay erişilebilir araçlar ve yüksek hızlı internet sayesinde mümkün olan yasadışı spor yayınlarından kaynaklanmaktadır.
Siber Güvenlik Yatırım Getirisini En Üst Düzeye Çıkarma: KOBİ ve MSP Liderleri için Uzman İpuçları – Ücretsiz Web Seminerine Katılın
Bilgisayar korsanları yanlış yapılandırılmış sunucuları ele geçirdi
Bu tehditleri azaltmak için IP kısıtlamaları, güçlü kimlik doğrulama ve şifreleme gibi sağlam güvenlik önlemleri Jupyter ortamları için çok önemlidir; spor organizasyonları ise korsanlıkla mücadele için yapay zeka tabanlı algılama, filigran ekleme ve yasal işlemlerden yararlanır.
Tehdit aktörleri, Jupyter Lab ve Notebook sunucularına kimlik doğrulamasız erişimden yararlanarak, başlangıçta yetkisiz erişim elde etti ve daha sonra, özellikle spor etkinliklerini yayınlamak için ffmpeg’i indirip çalıştırarak uzaktan kod yürütmek için ayrıcalıkları artırdı.
Bu ilk saldırı zararsız gibi görünse de, veri hırsızlığı, manipülasyon veya AI/ML süreçlerinin bozulması gibi önemli mali ve itibarsal hasarlara yol açabilecek ciddi sonuçların potansiyelinin altını çiziyor.
Aqua Tracee, ağ etkinliği, dosya işlemleri ve bellek dökümleri de dahil olmak üzere Linux sistem olaylarını yakaladı ve bunları Wireshark uyumlu bir .pcapng dosyasında birleştirdi. Bu dosya daha sonra şüpheli etkinliği tanımlamak için Wireshark’ın değiştirilmiş bir sürümü olan Traceeshark kullanılarak analiz edildi.
Analiz, potansiyel kötü amaçlı aktiviteye işaret eden, IP adresleri modeliyle çok sayıda olağandışı ffmpeg yürütmesini ortaya çıkaran süreç ağacına odaklandı.
Olayların genel hacmi nispeten küçük olsa da, bu olayların kendine özgü doğası önemli güvenlik endişelerini artırdı.
Aqua, Traceeshark’ın kapsayıcısını ve önemli filtrelerini kullanarak yanlış yapılandırılmış bir JupyterLab sunucu saldırısını araştırdı.
Saldırgan sunucuyu keşfetti, güvenilmeyen bir kaynaktan (MediaFire) ffmpeg’i indirdi ve x9pro.xyz’den ustream.tv’ye içerik akışı sağlamak için aracı çalıştırdı.
Komutun analizi, saldırganın muhtemelen reklam geliri veya abonelikler için gizlice içerik yakalama ve yayınlama niyetini ortaya çıkardı; Hedeflenen kaynağın Katar beIN Sports yayınları olduğu belirlendi ve saldırganın IP adresi Cezayir kökenli olduğunu öne sürdü.
Davranışsal analiz, proaktif tehdit avcılığıyla birleştirildiğinde, özellikle JupyterLab ve Jupyter Notebook gibi karmaşık ortamlarda gizli saldırıların belirlenmesi için çok önemlidir.
Güvenlik ekipleri, kalıpların ve davranışsal göstergelerin analizini yaptıkları takdirde, geleneksel güvenlik araçlarının gözden kaçırabileceği karmaşık tehditleri ortaya çıkarabilirler.
Öte yandan, canlı yayın yakalama için ffmpeg’in kullanılması, yasal gibi görünse de, spor korsanlığı gibi yasa dışı faaliyetler için kullanılma potansiyeline sahiptir.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılım Dosyalarını ve Bağlantılarını Analiz Edin -> Ücretsiz Deneyin