ABD güvenlik kurumları, kritik altyapıyı tehlikeye atmak ve tehdit aktörlerinin daha sonra siber suçlulara sattığı erişimi tehlikeye atmak için kaba kuvvet saldırıları ve diğer teknikleri kullanan bir yıllık İran kampanyası hakkında uyarıda bulunmak üzere bugün uluslararası meslektaşlarıyla bir araya geldi.
FBI, CISA, NSA ve Kanada ve Avustralya siber güvenlik kuruluşlarından gelen bir tavsiyeye göre, İran’ın kaba kuvvet saldırıları kampanyası sağlık ve halk sağlığı (HPH), hükümet, BT, mühendislik ve enerji sektörlerini hedef alıyor.
Ajanslar, bulgularının kuruluşların “tüm hesapların güçlü şifreler kullanmasını ve ikinci bir kimlik doğrulama biçimi kaydetmesini sağlaması gerektiği” noktasını ortaya çıkardığını söyledi.
Bu tavsiye kararı, CISA ve FBI’ın, İranlı tehdit aktörlerinin ABD’nin demokratik kurumlarına olan güveni sarsmak amacıyla siyasi örgütleri hedef aldığı yönündeki uyarısından sadece bir hafta sonra geldi. Ağustos ayında İran bağlantılı tehdit aktörlerinin kritik altyapı erişimini fidye yazılımı gruplarına sattığı yönünde raporlar da ortaya çıktı.
İranlı Tehdit Aktörü Saldırı Teknikleri
Güvenlik kurumları, İranlı tehdit aktörlerinin Ekim 2023’ten bu yana kullanıcı hesaplarını tehlikeye atmak ve kuruluşlara erişim elde etmek için şifre püskürtme ve çok faktörlü kimlik doğrulama (MFA) ‘itme bombalaması’ gibi kaba kuvvet saldırıları kullandığını söyledi.
Aktörler, kalıcı erişimi etkinleştirmek için genellikle MFA kayıtlarını değiştirir, ardından ek kimlik bilgileri, yükseltilmiş ayrıcalıklar ve daha fazla erişime yol açabilecek bilgiler için güvenliği ihlal edilmiş ağları araştırır.
Ajanslar, “Aktörler muhtemelen kurbanın ağını tanımlayan kimlik bilgilerini ve bilgileri ele geçirmeyi hedefliyor ve bunları daha sonra siber suçlulara erişim sağlamak için satmayı hedefliyorlar” diye yazdı ve ellerindeki bilgilerin “FBI’ın bu kötü niyetli faaliyetten etkilenen kuruluşlarla olan anlaşmalarından elde edildiğini” belirtti.
Tehdit aktörleri muhtemelen kurbanları hedef almak için keşif operasyonları yürütüyor ve ardından kaba kuvvet yoluyla ağlara kalıcı erişim sağlıyor.
Microsoft 365, Azure, Citrix Hedefli
Ajanslar, bilgisayar korsanlarının Microsoft 365, Azure ve Citrix sistemlerine ilk erişimi elde etmek için genellikle şifre püskürtme yoluyla, “bazen de bilinmeyen yöntemlerle” elde edilen geçerli kullanıcı ve grup e-posta hesaplarını kullandığını söyledi.
Anlık bildirim tabanlı MFA etkinleştirilirse aktörler, “MFA yorgunluğu” ve “itme bombalama” saldırılarında isteği kabul edeceklerini umarak meşru kullanıcılara MFA istekleri gönderir.
Tehdit aktörleri bir hesaba erişim sağladıktan sonra, geçerli hesap üzerinden erişimlerini korumak için genellikle cihazlarını MFA’ya kaydederler. Onaylanan iki uzlaşmada aktörler, tehlikeye giren bir kullanıcının MFA’ya açık kaydından yararlanarak tehdit aktörünün ortama erişim sağlamak üzere kendi cihazını kaydettirdi.
Başka bir durumda, aktörler, süresi dolmuş parolalara sahip hesapları sıfırlamak için halka açık bir Active Directory Federasyon Hizmeti’ne (ADFS) bağlı bir self servis parola sıfırlama (SSPR) aracı kullandılar ve ardından parolaları parolaları dolmuş hesaplar için MFA’yı Okta aracılığıyla kaydettirdiler. MFA’yı zaten etkinleştirmişsiniz.
Oyuncular genellikle bir VPN hizmeti kullanıyor; Özel İnternet Erişimi VPN hizmetine bağlı çıkış düğümlerinden kaynaklanan kötü amaçlı etkinliklerle bağlantılı IP adreslerinin birçoğu.
Tehdit aktörleri yanal hareket için Uzak Masaüstü Protokolünü (RDP) kullanıyor. Bir durumda, RDP ikili mstsc.exe dosyasını başlatmak üzere PowerShell’i açmak için Microsoft Word’ü kullandılar.
Kimlik bilgilerini elde etmek için tehdit aktörleri, çeşitli hizmet hesaplarının Kerberos Hizmet Asıl Adı (SPN) numaralandırmasını gerçekleştirdi ve Kerberos biletleri aldı. Başka bir durumda, muhtemelen tüm AD hesaplarının dizin dökümünü gerçekleştirmek için Active Directory (AD) Microsoft Graph Uygulama Programı Arayüzü (API) PowerShell uygulamasını kullandılar. Ayrıca aktörler, GitHub’da açık olarak bulunan ve muhtemelen parola püskürtme işlemi gerçekleştirecek olan DomainPasswordSpray.ps1 aracını da içe aktardılar. Öğretim Görevlileri ayrıca kullanıcı adlarını ve kimlik bilgilerini görüntülemek için Cmdkey /list komutunu da kullandı.
Aktörler, etki alanı denetleyicileri, güvenilen etki alanları, etki alanı yöneticileri ve kurumsal yöneticiler hakkında bilgi toplamak için Windows komut satırı araçları gibi araziden yaşama (LOTL) tekniklerini kullandı. Ayrıca Active Directory’de bilgisayar görünen adlarını, işletim sistemlerini, açıklamaları ve ayırt edici adları aramak için PowerShell’de bir Basit Dizin Erişim Protokolü (LDAP) sorgusu kullandılar.
İran Kaba Kuvvet Saldırılarında Uzlaşma Göstergeleri
Kaba kuvvet etkinliğini tespit etmek için kurumlar, hesap güvenliği ihlali ve kaba kuvvet saldırılarına ilişkin göstergeler açısından kimlik doğrulama günlüklerinin ve sanal altyapının incelenmesini önermektedir:
- geçerli hesapların sistem ve uygulama oturum açma hataları
- tüm hesaplarda birden fazla başarısız kimlik doğrulama girişimi
- kullanıcı adlarını değiştirerek şüpheli girişler
- IP adreslerinin kullanıcının coğrafi konumuyla uyumlu olmadığı IP adresi kombinasyonları veya oturum açma işlemleri
- birden fazla hesap için kullanılan tek bir IP
- “imkansız seyahat” işaretleri (meşru kullanıcıların VPN kullanmaması şartıyla)
- Beklenmedik konumlarda veya tanıdık olmayan cihazlardan MFA’ya MFA kayıtları
- şifreleri sıfırladıktan veya kullanıcı hesabı azaltımlarını uyguladıktan sonra şüpheli ayrıcalıklı hesap kullanımı
- Genellikle hareketsiz hesaplarda olağandışı etkinlik
- bot etkinliğini gösterebilecek olağandışı kullanıcı aracısı dizeleri
Güvenlik ekipleri, erişim veya kopyalama gibi kimlik bilgilerinin boşaltıldığını gösterebilecek süreçleri ve program yürütme komut satırı argümanlarını izlemelidir. ntds.dit Bir etki alanı denetleyicisinden dosya.
Tavsiye belgesi, dosya karmaları, IP adresleri ve cihaz bilgileri gibi kampanyaya özel bir dizi Tehlike Göstergesi (IoC) içerir.
Kötü Amaçlı Dosya Karması Güvenlik Araçları Tarafından Saptanmadı
Danışma belgesi, IoC’lerde iki SHA1 dosyası karmasını tanımladı:
- 1F96D15B26416B2C7043EE7172357AF3AFBB002A
- 3D3CDF7CFC881678FEBCAFB26AE423FE5AA4EFEC
İlginç bir şekilde, Cyble tehdit istihbaratı verilerine göre ilk hash beş yıldan daha eski olmasına rağmen bugünkü tavsiye öncesinde 73 güvenlik aracından yalnızca biri bunu kötü amaçlı olarak tanımladı (aşağıdaki resimler Cyble’ın Hawk ve Vision tehdit istihbarat araçlarından alınmıştır).
