Bir güvenlik ihlali sonrasında, adli müfettişler saldırganın izini takip etmek için hızlı bir şekilde çalışırlar. Güvenlik uzmanları bu durumu analiz ettiler ve temel bir kanıt kaynağının genellikle göz ardı edildiğini buldular: Microsoft Azure depolama günlükleri.
Sık sık gözden kaçarken, bu günlükler bir saldırının yeniden yapılandırılmasına, veri hırsızlığını izlemeye ve güvenlik boşluklarını tanımlamaya yardımcı olabilecek paha biçilmez bilgiler sağlar.
Çok miktarda hassas veri tutabilen Azure depolama hesapları, bilgileri dışarı atmayı amaçlayan tehdit aktörleri için ana hedeftir.
Bununla birlikte, kötü niyetli etkinliklerini yakalayan teşhis günlüğü varsayılan olarak her zaman etkin değildir ve olay müdahale ekipleri için önemli bir kör nokta oluşturur. Bu günlükler olmadan, saldırganların nasıl eriştiğine ve verileri nasıl çaldığına dair önemli kanıtlar sonsuza dek kaybolabilir.
Tehdit aktörleri, yanlış yapılandırılmış güvenlik ayarları, zayıf erişim kontrolleri ve sızdırılmış kimlik bilgileri de dahil olmak üzere yetkisiz erişim elde etmek için çeşitli zayıflıklardan yararlanır.
İki yaygın yöntem, sınırlı bir süre için belirli izinler veren Paylaşılan Erişim İmzası (SAS) jetonlarının kötüye kullanılmasını ve verilere ayrıcalıklı, uzun vadeli erişim sağlayan depolama hesabı anahtarlarının maruz kalmasını içerir.
Microsoft Azure Depolama Günlükleri Adli
Günlük kaydı doğru bir şekilde etkinleştirildikten sonra, araştırmacılar StorageBlobLogs Azure’un günlük analizi içindeki masa.
Bu günlükler, depolanan verilerdeki her okuma, yazma ve silme işlemi hakkında temel ayrıntıları yakalar. Anahtar alanlar, saldırganın eylemlerinin dijital ekmek kırıntısı izini sağlar:
- Operasyon Adı: “Getblob” (bir dosya indirme), “putblob” (bir dosya yükleme) veya “deleteblob” gibi belirli eylemi tanımlar.
- Calleripaddress: Talep sahibinin IP adresini ortaya çıkarır ve kötü niyetli etkinliğin kökenini belirlemeye yardımcı olur.
- UserAgentHeader: Verilere erişmek için kullanılan araçlar hakkında ipuçları sunar, bir web tarayıcısından, Azure portalından veya AZCOPY veya Azure Storage Explorer gibi özel araçlardan erişimi ayırır.
- AuthenticationType: Standart kimlik bilgileri (OAuth), bir SAS jetonu veya bir hesap anahtarı aracılığıyla kullanıcının nasıl doğrulandığını gösterir.
Bu alanları analiz ederek, araştırmacılar meşru kullanıcı etkinliği ile bir tehdit oyuncusu hareketleri arasında ayrım yapabilirler.
Örneğin, bilinmeyen bir IP adresinden “ListContainers” veya “Listblobs” işlemlerinde ani bir artış, bir saldırganın depolama ortamını eşleştirdiğini gösterebilir.
Benzer şekilde, “getBlob” işlemlerini izleme, veri açığa çıkmasını onaylayabilir ve tam olarak hangi dosyalara erişildiğini belirleyebilir.
Tespitten önlemeye kadar
Araştırma genellikle Microsoft Intra Kimliğinden şüpheli imzalar depolama günlüklerindeki etkinlik ile ilişkilendirerek başlar. Bir senaryoda, “Depolama Blob Data Katkıda bulunan” gibi başka bir kötü amaçlı hesap erişim rolü vermek için yönetici ayrıcalıklara sahip uzlaşmış bir kullanıcı hesabı kullanılabilir.
. AzureActivity Günlükler bu rol atamasını gösterirken StorageBlobLogs Günlükler daha sonra hassas dosyalara erişen ve indirme yeni hesabı ortaya çıkarır.
Bir SAS jetonunun kimlik doğrulama karmasını ilişkilendirerek, araştırmacılar, saldırgan IP adreslerini değiştirse bile, bu jetonla gerçekleştirilen her eylemi izleyebilir. Bu, uzlaşmanın tüm kapsamını tanımlamaya yardımcı olur.
Dreymann ve Shiva P’nin analizi, Azure kullanan kuruluşlar için kritik bir mesajın altını çizer: depolama hesabı günlüğünü etkinleştirme sadece bir seçenek değil, bir zorunluluktur.
Bu günlükler, ekiplerin olayın kapsamını anlamalarına, iyileştirme çabalarına rehberlik etmesine ve gelecekteki veri hırsızlığını önlemek için daha güçlü kontroller uygulamasına olanak tanıyan, ihlal sonrası adli tıp için vazgeçilmezdir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.