Siber güvenlik ortamı bulut tabanlı saldırılara doğru kaymaya devam ediyor; tehdit aktörleri kötü niyetli keşifler için meşru güvenlik araçlarından giderek daha fazla yararlanıyor.
Yetkili güvenlik profesyonelleri için tasarlanmış bir sızma testi aracı olan AzureHound, Azure ve Microsoft Entra ID ortamlarını anlamak ve bu ortamların güvenliğini aşmak isteyen saldırganların tercih ettiği bir silah haline geldi.
Tehdidi Anlamak
AzureHound, BloodHound paketine yerleşik bir veri toplama aracıdır ve başlangıçta savunucuların bulut altyapısındaki güvenlik açıklarını tespit etmelerine yardımcı olmak için oluşturulmuştur.
Araç, kullanıcılar, gruplar, izinler, roller ve kaynaklar hakkında ayrıntılı bilgi toplamak için Microsoft Graph ve Azure REST API’lerini sorgulayarak çalışır.
Ancak tehdit aktörleri, saldırı zaman çizelgelerini hızlandırmak ve kurban ortamlarında verimli bir şekilde çalışmak için bu meşru yazılımı silah haline getirdi.
Son dönemdeki tehdit istihbaratı, İran destekli Curious Serpens ve Rusya bağlantılı Void Blizzard gibi gelişmiş rakiplerin AzureHound’u uzlaşma sonrası keşif aşamalarına dahil ettiğini ortaya koyuyor.
Bu kampanyalar, tehdit aktörlerinin saldırı yollarını haritalandırmak, yüksek değerli hedefleri belirlemek ve normalde gizli kalabilecek ayrıcalık yükseltme fırsatlarını ortaya çıkarmak için bu araçtan nasıl yararlandığını gösteriyor.
Saldırganlar, tehlikeye atılmış kimlik bilgileri, kimlik avı saldırıları veya çalıntı belirteçler aracılığıyla kurbanın ortamına ilk erişim elde ettikten sonra, tüm Azure kiracısını hızlı bir şekilde numaralandırmak için AzureHound’u dağıtırlar.
Araç, özel bir ağ konumlandırması gerektirmez; hem Microsoft Graph hem de Azure REST API’lerine harici konumlardan erişilebilir, bu da saldırganlara uzaktan keşif yetenekleri sağlar.
Tehdit aktörleri, kullanıcı hiyerarşilerini keşfetmek, Genel Yöneticiler gibi yönetim ayrıcalıklarına sahip hesapları belirlemek, kuruluş genelinde rol atamalarını eşlemek ve hassas veriler içeren depolama hesapları ve anahtar kasaları dahil kritik altyapıyı bulmak için AzureHound komutlarını kullanır.
Bu kapsamlı görünürlük, saldırganların kimlik bilgileri hırsızlığı için hangi kullanıcıları hedef alacağını ve hangi sistemlerin hedeflerine giden en hızlı yolu sunduğunu belirlemesine olanak tanır.
Aracın BloodHound görselleştirme yazılımıyla entegrasyonu, ham API verilerini ayrıcalık yükseltme yollarını ve yanal hareket fırsatlarını gösteren grafiksel gösterimlere dönüştürerek saldırganlara daha derin uzlaşmalar için net bir yol haritası sunar.
Kuruluşların AzureHound kötüye kullanımına karşı koruma sağlamak için katmanlı güvenlik denetimleri uygulaması gerekir.
Bu, çok faktörlü kimlik doğrulama gibi güçlü kimlik doğrulama mekanizmalarının uygulanmasını, şüpheli oturum açma modellerini kısıtlayan koşullu erişim ilkelerinin uygulanmasını ve olağandışı numaralandırma sorguları için Azure API etkinliğinin izlenmesini içerir.
Savunucular, kullanıcıları listele, grupları listele, rol atamalarını listele ve depolama hesaplarını listele gibi belirli AzureHound komutlarını izlemelidir.
Bu sorgular, özellikle hızlı bir şekilde veya beklenmedik hesaplar tarafından yürütüldüğünde, potansiyel keşif faaliyetinin sinyalini verir. En az ayrıcalıklı erişim ilkesinin uygulanması, saldırganların kimlik bilgileri edinmesine rağmen numaralandırma yeteneklerinin sınırlı kalmasını sağlar.
Palo Alto Networks Cortex XDR ve XSIAM platformlarını kullanan kuruluşlar, şüpheli API modellerini tanımlayan bulut odaklı tehdit tespitinden yararlanır.
Azure etkinliğinin doğru şekilde günlüğe kaydedilmesi ve hızlı olay müdahale koordinasyonu, kapsamlı bir savunma stratejisinin temel bileşenleridir.
Tehdit aktörleri bulut altyapısını hedeflemeye devam ederken, güvenlik ekiplerinin bulut keşif faaliyetlerini kritik risk göstergeleri olarak ele alması gerekiyor.
Proaktif tehdit avcılığı, düzenli güvenlik değerlendirmeleri ve yeni ortaya çıkan saldırı teknikleri hakkında bilgi sahibi olmak, Azure ortamlarının AzureHound kötüye kullanımına ve ilgili bulut odaklı tehditlere karşı korunmasında büyük önem taşıyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.