Google, tehdit aktörleri tarafından güvenlik sistemlerinden kaçmak için kullanılan birden fazla yöntemi gösteren Nisan 2023 için tehdit ufku raporunu yayınladı.
Google’ın Siber Güvenlik Eylem Ekibi (GCAT) ve Mandiant, tehdit aktörlerinin dönem boyunca ortamlara sızmak ve diğer kötü amaçlı faaliyetler için kullandıkları teknik ve yöntemlerin bir listesini araştırdı.
Bulutta Barındırılan Şifreli ZIP Dosyaları Tespitten Kaçıyor
2022’nin 4. çeyreğinde yapılan zorunlu gözlemler, tehdit aktörlerinin tespit edilmekten kaçınmak için kötü amaçlı dosyaları Google Drive’da şifrelenmiş ZIP dosyaları olarak depoladığı bir tekniği gösterdi.
Bir kötü amaçlı yazılım kampanyası ayrıca, URSNIF ikili dosyasını Google Drive’da barındırarak URSNIF kötü amaçlı yazılımını, bir banka botunu ve izinsiz giriş yazılımını dağıttı.
Tehdit aktörleri, kurbanları parola korumalı kötü amaçlı ZIP dosyalarını indirmeye ikna etmek için kimlik avı e-postaları kullanır ve bu dosyalar daha sonra kötü amaçlı yazılımı kurbanın makinesine yükler.
2022’nin 4. çeyreği de bu tekniğin başka bir genişlemesini gösterdi. DICELOADER kötü amaçlı yazılımı birden fazla amacı olan dağıtıldı.
Bu teknikte Mandiant, oltalama e-postasındaki Google Drive bağlantısının bir LNK dosyasına sahip olduğunu gözlemledi.
Bu dosya indirildiğinde, sonunda bir DICELOADER bulaşmasına yol açan bir Truva atı olan Zoom MSI yükleyicisini kuracaktır.
Diğer birkaç tehdit aktörü, bu tekniği diğer bazı durumlarda farklı amaçlar için kullandı.
Google Kubernetes Engine’e Güvenlik Düzeltmesi Yaparken Karşılaşılan Müşteri Zorlukları ve Çözümleri
Kubernetes, kullanılabilirliği, esnekliği ve güvenliği nedeniyle bulut müşterileri için harika bir özellik olmuştur.
Bununla birlikte, Kubernetes bile rutin olarak güvenlik ve hata düzeltmeleri yükleyen yamalara ihtiyaç duyar.
Google’ın raporlarına göre 2021-2022 verileri, Google Kubernetes Engine (GKE) müşterilerinin çoğunun “yama uygulamalarının üretim operasyonlarını etkileyebileceği” korkusuyla yama uygulamalarını ertelediğini gösterdi.
Güvenlik düzeltme ekindeki bu gecikme, bazen tehdit aktörlerinin zaman içinde yararlanabileceği güvenlik açıklarına neden olabilir.
Güvenlik açıklarını bulmak için tarama ve bildirim hizmetleriyle birleştirilebilen güvenlik düzeltme eki uygulama ve iş sürekliliğini sürdürmek için birçok seçenek mevcuttur.
GKE müşterilerinin güvenlik yamasını geciktirmesinin birçok nedeni vardı:
- Müşterilerin oturum bakımları (Sabitlenmiş oturumlar) sonlandırılacaktır.
- AI/ML uygulama tabanlı istemciler, yama ve yeniden başlatma etkinliği sırasında kaydedilmemiş iş yüklerinin kaybolabileceğinden endişe ediyorlardı.
- Bazı müşteriler, yama uygulamalarının beklenmeyen API değişiklikleri getirip uygulamalarının işlevselliğini etkileyebileceğinden endişe ediyorlardı.
- Büyük düğüm müşterileri, yama uygulamak için daha fazla zaman harcayacak ve bu da zayıf bir güvenlik duruşu yaratacaktır.
GKE’de Kullanılabilirlik ve Güvenlik Yamalarını Dengelemeye Yönelik Çözümler
- Uygulamalar için uygun ve ilgili kanalları (Hızlı, Düzenli ve Kararlı) yükseltmeleri seçin
- Uygun süre ile yama uygulamak için bakım aralıklarını kullanın.
- Bazı özel durumlarda yükseltmeleri önlemek için bakım hariç tutma pencerelerine sahip olun.
- Oturum bakımına dayalı müşteri uygulamaları için Kapsül Kesinti Bütçesi ayarlamak tercih edilir.
- İş yükü kullanılabilirliği için bölgesel kümeler yerine bölgesel kümelerin ayarlanması önerilir.
- Bir Güvenlik duruşu gösterge panosuna sahip olmak, yüksek oranda sonuç sağlar.
- Çeşitli bildirim hizmetlerini kullanmak, yama için ek güvenlik bilincine sahip olacaktır.
Düşük asılı meyve: Sızan Hizmet Hesabı Anahtarları ve Kuruluşunuz Üzerindeki Etkisi
Hizmet hesabı kimlik bilgilerinin sızması, Bulut tabanlı altyapılara sahip kuruluşlar için en büyük tehdit olmuştur.
CSA (Cloud Security Alliance) tarafından 2022’de bulut bilgi işlem için En Önemli Tehditler’e göre, olayların %42’si sızdırılmış önemli olaylardı.
Kimlik, Kimlik Bilgileri, Erişim ve Anahtar yönetimi, anahtarların gizli bilgilere erişimi olabileceğinden, Bulut tabanlı sistemler için son derece önemlidir.
Bunların çoğu, yeni hesap oluşturma veya geliştiricilerin kodlarını halka açık bir depoda test etmesinden kaynaklanıyordu ve bu da hizmet hesabı kimlik bilgilerinin sızdırılmasına yol açıyordu.
Google, “Kötüye kullanım sistemlerimiz tarafından tespit edilen sızdırılmış kritik olayların %42’sinde, Google proje sahibiyle iletişime geçmeye çalıştıktan sonra müşteriler herhangi bir işlem yapmadı, bu nedenle anahtar kötüye kullanıma açık durumda kaldı.
Hizmet hesabı anahtarlarını açığa çıkaran kodu test eden birçok yeni hesap veya geliştirici örneği olsa da ekiplerimiz, kuruluşların farklı boyutlarına ve olgunluklarına dağılmış tavizler gözlemledi.”.
API Çağrılarını Gizlemek İçin Taktik Değiştiren Saldırganlar
Bu sızdırılmış hizmet hesabı kimlik bilgilerini alan tehdit aktörleri, API çağrılarının kaynağını gizlemek için birkaç savunma kaçırma tekniği kullanıyor.
Saldırganların çoğu, anonim API çağrıları için Tor düğümlerini, açık proxy’leri ve güvenliği ihlal edilmiş diğer bulut örneklerini veya bulut hizmeti sağlayıcılarını kullanır.
Saldırganlar genellikle hizmet kimlik bilgilerinin kapasitesinin farkında değildir ve bu nedenle, örneğin kapatılmasına neden olacak şekilde kaynak kullanımının seviyesini yükseltmek için otomasyon araçlarına bağımlıdır.
Keşfedilen kimlik bilgilerini ele geçiren saldırganlar, kimlik bilgilerinin izinlerine bağlı olarak altyapıya aşırı zarar verebilir.
Güvenliği ihlal edilmiş hizmet hesabı anahtarlarının IAM rollerine ilişkin veri araştırması aşağıdaki verilere karşılık gelir.
- Anahtarların %67,6’sı temel IAM rollerine sahipti
- %23,5’i Sahip rolüne sahipti
- %44,1’i editör rollerine sahipti
Palo Alto’nun Birim 42 Bulut Tehdit Araştırması tarafından hazırlanan başka bir raporda, “Bulut kullanıcılarının, rollerinin, hizmetlerinin ve kaynaklarının %99’una aşırı izinler verildi.”
Kod havuzlarında kontrol edilen sabit kodlanmış kimlik bilgileri
Bir genel/özel havuza sızan kimlik bilgileri, bir geliştirici bir hizmet hesabı anahtarı (genellikle bir RSA genel/özel anahtar çifti) indirdiğinde ve bunu özel bir kod deposundaki kodu kontrol etmek için kullandığında ve orada çok uzun süre kaldığında ortaya çıkar.
Bu özel havuzların halka açık hale geldiği durumlar, bu anahtarların ifşasının baskın hale geldiği durumlardır.
Tehdit aktörleri, düşük asılı meyveler olarak kabul edilen bu anahtarları bulmak için depoların içine ağlar atar.
Ocak 2023 tarihli Threat Horizon raporuna göre, BT otomasyon yazılımı Jenkins en çok hedeflenen oldu.
Bunun nedeni, anahtarların ve diğer kimlik bilgilerinin, bir kuruluşun taahhüdünde ve bu anahtarları komut satırı bağımsız değişkenleri olarak gönderildiklerinde görüntüleyen CI/CD günlüklerinde bulunmasıydı.
Ne yazık ki, bunlar çok uzun süre fark edilmedi. IBM’in 2022 Veri Maliyeti ihlali raporuna göre, ihlallerin %19’u güvenliği ihlal edilmiş veya çalınmış kimlik bilgilerinden kaynaklanıyordu ve tespit edilmesi yaklaşık 243 gün gibi en uzun süreyi aldı.
Bir geliştiricinin Python Paket Dizini’ni (PyPi) taradığı başka bir örnekte 53 meşru ve geçerli AWS anahtarı ortaya çıktı.
Gerçek şu ki, Amazon’un kendisinde sızdırılmış bir anahtar vardı ve taramada bulunan en eski aktif anahtar 10 yıl öncesine dayanıyor.
Azaltmalar
- Hizmet hesabı ihtiyacı doğrulanmalıdır
- Yerel geliştirme, kimlik doğrulaması için kişisel hesap kimlik bilgilerini kullanabilir
- Bir anahtar envanteri tutun ve bunları düzenli olarak denetleyin
- Hizmet hesapları için bir adlandırma kuralına sahip olmak yardımcı olabilir
- Denetim günlüklerini izleme ve kötü niyetli davranışı belirleme
- Bir süre kullanılmayan hesapları devre dışı bırakma politikalarına sahip olmanız önerilir.