Tehdit aktörleri, kurumsal depolara sızmak ve kritik iş yüklerini kesintiye uğratmak için Microsoft’un amiral gemisi nesne depolama çözümü olan Azure Blob Storage’ı giderek daha fazla hedef alıyor.
Yapay zeka, yüksek performanslı bilgi işlem, analiz, medya akışı, kurumsal yedekleme ve Nesnelerin İnterneti alımı için eksabaytlarca yapılandırılmamış veriyi işleme kapasitesiyle Blob Depolama, verileri geniş ölçekte çalmayı, bozmayı veya fidye almayı amaçlayan karmaşık kampanyalar için çekici bir vektör haline geldi.
Son aylarda güvenlik araştırmacıları, Blob Depolama hesaplarını ihlal etmek için yanlış yapılandırmalardan, sızdırılmış kimlik bilgilerinden ve zayıf erişim kontrollerinden yararlanan saldırılarda bir artış olduğunu belgeledi.
Herkese açık kapsayıcılar, DNS ve HTTP başlık incelemesi, kaba zorlamalı alt etki alanı permütasyonları ve açığa çıkan uç noktaları kataloglayan özel dizin oluşturucular kullanılarak rutin olarak numaralandırılır.
Geçerli depolama hesabı adları veya kapsayıcı URL’leri keşfedildiğinde, saldırganlar depolama hesabı anahtarları, paylaşılan erişim imzaları (SAS) belirteçleri veya hizmet sorumlusu kimlik bilgileri için kod depolarını, yapılandırma dosyalarını ve sürüm geçmişlerini araştırır.
Bu kimlik bilgileri genellikle tam okuma, yazma ve silme izinleri vererek tehdit aktörlerinin bulut ortamlarında ilk dayanak noktası oluşturmasına ve ayrıcalıkları yükseltmesine olanak tanır.
Saldırganlar, veri hırsızlığının ötesinde, kötü amaçlı yükleri ve sahte oturum açma sayfalarını barındırmak için Blob Storage’dan yararlanıyor.
Tehdit gruplarının, makro özellikli belgeleri, yürütülebilir dosyaları veya zehirli makine öğrenimi veri kümelerini, anonim erişime açık bırakılan veya aşırı hoşgörülü SAS belirteçleriyle güvence altına alınan kaplara enjekte ettiği gözlemlendi.
Bu kaynakları indiren kurbanlar, Azure İşlevleri, Logic Apps veya aşağı akış veri hatları aracılığıyla yayılabilen, abonelikler ve kaynak grupları arasında yanal hareketi tetikleyebilen kötü amaçlı yazılım çalıştırma riskiyle karşı karşıya kalır.
Blob Depolamadan Yararlanan Saldırı Zinciri Aşamaları
Saldırı zincirini Azure Blob Depolama ile eşlemek, savunucuların hedeflenen kontrolleri uygulaması gereken birkaç aşamayı ortaya çıkarır.
Keşif sırasında, Goblob ve QuickAZ gibi araçlar kapsayıcı numaralandırmayı otomatik hale getirirken yapay zeka destekli dil modelleri, kaba kuvvetle başarı oranlarını artırmak için makul hesap ve kapsayıcı adları oluşturur.
Kaynak geliştirme aşamasında, saldırganlar kötü amaçlı nesneler oluşturmak, kimlik avı sitelerini barındırmak veya eğitim verilerini zehirlemek için yanlış yapılandırılmış kimlik ayarlarından yararlanır.
İlk erişim genellikle Azure İşlevleri veya Event Grid abonelikleri gibi blob tarafından tetiklenen iş akışları aracılığıyla gerçekleşir. Kötü amaçlı dosyalar üreten tehdit aktörleri, güvenilir otomasyonu ele geçirebilir ve yönetilen kimlikler altında yetkisiz kod yürütülmesini tetikleyebilir.
Kalıcılık, uzatılmış geçerlilik süresine sahip geniş SAS belirteçleri oluşturularak, anonim erişim için kapsayıcı politikaları değiştirilerek ve anahtar rotasyonlarına ve parola sıfırlamalarına dayanıklı arka kapılar yerleştirmek için Azure Hound veya AADInternals’dan yararlanılarak korunur.
Saldırganlar, savunmalardan kaçınmak için ağ kurallarını değiştirir, tanılama günlüğünü devre dışı bırakır ve istekleri birden fazla bölgeye dağıtır.
Toplama ve sızdırma aşamaları, Azure’un yüksek bant genişliğinden ve dahili ağından yararlanır. Saldırganlar, büyük hacimli hassas verileri kendi kontrolleri altındaki hazırlama kapsayıcılarına aktarmak için AzCopy, Azure Storage Explorer veya REST API çağrılarını kullanır.
$web konteynerinin statik web sitesi barındırması gizli bir sızma yolu sağlarken, nesne çoğaltma politikaları kötü amaçlı yükleri güvenilir hedef hesaplara yayarak tedarik zinciri tarzı saldırılara olanak sağlayabilir. Blob meta verilerinin bir komut ve kontrol kanalı olarak akıllıca kullanılması, Blob Depolamanın kötüye kullanımının çok yönlülüğünü daha da gösterir.
Sıfır Güven ve Sürekli İzleme
Bu gelişen tehditlerin farkında olan Microsoft’un Güvenli Gelecek Girişimi, varsayılan olarak güvenlik özelliklerine sahiptir ve bulut depolama için MITRE ATT&CK tehdit matrisini sürekli olarak günceller.
Ancak kuruluşların veri katmanını savunmak için sağlam bir güvenlik temeli uygulaması gerekir. En iyi uygulamalar arasında Azure Entra rol tabanlı erişim denetimi ve öznitelik tabanlı ilkeler aracılığıyla en az ayrıcalıklı erişimin zorunlu kılınması, kapsayıcı düzeyinde anonim erişimi devre dışı bırakarak genel kullanıma açıklığın kısıtlanması ve kaynak kimlik doğrulamasına sıfır güven ilkelerinin uygulanması yer alır.
Özel uç noktalar, sanal ağ kuralları ve zorunlu TLS şifrelemesi gibi ağ korumaları aktarım halindeki verileri korurken, hizmet tarafı şifreleme ve isteğe bağlı çift şifreleme, beklemedeki verileri korur.
Değişmezlik ilkeleri, geçici silme ve sürüm oluşturma, yetkisiz değişikliklere karşı koruma sağlar ve silme veya bozulma durumunda hızlı kurtarmayı kolaylaştırır. Azure Depolama’nın Bulut için Microsoft Defender ile entegre edilmesi ve Depolama için Defender planının etkinleştirilmesi, gerçek zamanlı tehdit istihbaratı, hassas veri keşfi ve otomatik kötü amaçlı yazılım taraması sağlar.
Defender for Storage’ın uyarıları, anormal erişim düzenlerini, veri sızdırma girişimlerini ve kötü amaçlı dosya yüklemelerini, aşağı akış iş yüklerini tehlikeye atmadan önce tespit eder.
Kuruluşlar, veri depolama katmanındaki benzersiz riskleri anlayarak ve kimlik, ağ iletişimi, veri koruma ve izleme genelinde katmanlı kontroller uygulayarak Blob Depolama saldırılarının etkisini azaltabilir.
Rakipler yenilik yapmaya devam ettikçe, kritik depoların korunması ve iş sürekliliğinin sürdürülmesi için proaktif, sıfır güvene dayalı bir savunma duruşu temel olmaya devam edecek.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.