Siber suçlular ve devlet destekli aktörler, tehlikeye atılmış ortamlarda kalıcı erişim sağlamak için OAuth uygulamalarını giderek daha fazla silah haline getirdikçe, bulut hesap ele geçirme saldırıları karmaşık bir tehdide dönüştü.
Bu kötü niyetli aktörler, bulut kimlik doğrulama sistemlerinin temel güven mekanizmalarından yararlanıyor; özellikle kullanıcı hesaplarını ele geçirebilecekleri, keşif gerçekleştirebilecekleri, hassas verileri sızdırabilecekleri ve endişe verici bir etkinlikle sonraki saldırıları başlatabilecekleri Microsoft Entra ID ortamlarını hedef alıyorlar.
Saldırganlar, bir bulut hesabına ilk erişim elde ettikten sonra, özel tanımlı kapsam ve izinlere sahip dahili ikinci taraf uygulamaları oluşturup yetkilendirebildiğinden, bu saldırı vektörünün güvenlik sonuçları özellikle ciddidir.
Bu özellik, posta kutuları, SharePoint belgeleri, OneDrive dosyaları, Teams mesajları ve takvim bilgileri dahil olmak üzere kritik kurumsal kaynaklara kalıcı erişim sağlar.
Kötü amaçlı OAuth uygulamaları, kullanıcı kimlik bilgileri değişikliklerinden bağımsız olarak yetkili erişimlerini sürdürdüğü için, parola sıfırlama ve çok faktörlü kimlik doğrulama uygulaması gibi geleneksel güvenlik önlemlerinin bu saldırılara karşı etkisiz olduğu kanıtlanmıştır.
Proofpoint analistleri, tehdit aktörlerinin bulut ortamlarında nasıl dayanıklı arka kapılar kurduğunu gösteren otomatik bir araç seti geliştirerek, kapsamlı araştırma ve gerçek dünya olay analizi yoluyla ortaya çıkan bu tehdit modelini belirledi.
Araştırmaları, saldırganların ilk erişimi genellikle hem kimlik bilgilerinin hem de oturum çerezlerinin çalınmasına olanak tanıyan kişiselleştirilmiş kimlik avı tuzaklarının eşlik ettiği ters proxy araç setleri aracılığıyla elde ettiğini ortaya çıkardı.
Saldırganlar, içeri girdikten sonra, kuruluşun kiracısı içinde meşru iş kaynakları olarak görünen yeni dahili uygulamaları kaydetmek için ele geçirilen hesabın ayrıcalıklarından yararlanır.
Kalıcılık mekanizması, saldırganların ortamdaki örtülü güveni devralan ikinci taraf uygulamalar oluşturduğu, dikkatle düzenlenmiş bir süreç yoluyla çalışır.
.webp)
Bu dahili uygulamaların algılanması, üçüncü taraf uygulamalara göre daha zordur çünkü bunlar, öncelikle harici uygulama izleme için tasarlanan güvenlik kontrollerini atlar.
Kötü amaçlı uygulamalar, proaktif güvenlik denetimi yoluyla özel olarak tanımlanmadıkça, ortamda süresiz olarak tespit edilmeden kalabilir, bu da veri sızdırma ve keşif faaliyetleri için önemli bir fırsat penceresi oluşturur.
Otomatik OAuth Kalıcılığı: Teknik Uygulama
Bu saldırıların teknik karmaşıklığı, otomatik OAuth uygulama kaydı ve yapılandırma süreçleriyle açıkça ortaya çıkıyor.
Saldırganlar, istismar sonrası faaliyetleri kolaylaştıran araçları dağıtır ve uygulamaları hedeflerine uygun, önceden yapılandırılmış izin kapsamlarına kaydeder.
Kritik bir husus, güvenliği ihlal edilmiş kullanıcı hesabının yeni oluşturulan uygulamanın kayıtlı sahibi olarak oluşturulmasını ve bu hesabın, dahili sistemlerle ilişkili güven ilişkilerini devralan meşru bir dahili kaynak olarak etkili bir şekilde konumlandırılmasını içerir.
Otomatik dağıtım sırasında saldırganlar, uygulamanın kimlik doğrulama bilgileri olarak hizmet veren ve genellikle iki yıla kadar uzatılmış geçerlilik süreleriyle yapılandırılmış kriptografik istemci sırları oluşturur.
.webp)
Otomasyon daha sonra erişim belirteçleri, yenileme belirteçleri ve kimlik belirteçleri dahil olmak üzere birden fazla OAuth belirteç türünü toplar ve her biri kalıcı erişimi sürdürmek için farklı amaçlara hizmet eder.
Proofpoint araştırmacıları, ABD merkezli VPN proxy’leri üzerinden çalışan saldırganların, Mail.Read ve offline_access izinleriyle ‘test’ adlı dahili bir uygulama oluşturduğu ve kurbanın şifresi değiştirildikten sonra bile dört gün boyunca erişimi sürdürdüğü gerçek dünyada yaşanan bir olayı belgeledi.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
