Kimlik bilgisi doldurma saldırılarının, 2024’te infostealer enfeksiyonları ve veri ihlallerinin kısır bir çemberinin körüklediği büyük bir etkisi oldu. Ancak, saldırganlar tarafından sıkça gerçekleştirilenler de dahil olmak üzere, ortak web görevlerinin düşük maliyetli, düşük çaba otomasyonunu sağlayan yeni bir AI ajanı olan bilgisayar kullanan ajanlar ile işler daha da kötüleşmek üzere olabilir.
Çalınan Kimlik Bilgileri: 2024’te Siber Suçlu Silah Silahı
Çalıntı kimlik bilgileri 2023/24’teki 1 numaralı saldırgan eylemi ve web uygulaması saldırılarının% 80’i için ihlal vektörüydü. Milyarlarca sızdırılmış kimlik bilgilerinin çevrimiçi olarak dolaşımda olduğunu düşündüğünüzde ve saldırganların suç forumlarında en son düşüşü 10 $ ‘a kadar alabileceğini düşündüğünüzde şaşırtıcı değil.
Çalıntı kimlik bilgileri için ceza pazarı, 2024 yılında, veri ihlali dökümlerinde bulunan kimlik bilgilerine ve infostealer ve kitle kimlik avı kampanyalarından ödün verilen kimlik bilgisi akışlarını kullanan yüksek profilli ihlallerin tanıtımından yararlanmaktadır ve bu da 165 müşteri kiracının ve yüzlerce milyonlarca ihlal kayıtının uzlaşmasına neden olmaktadır.
Ancak 2024’ün kimlik temelli saldırıların etkisi açısından benzeri görülmemiş bir yıl olmasına rağmen, saldırganların farkına varması için hala çok fazla tatminsiz potansiyel var.
Kimlik Bilgisi Saldırı Otomasyonu – SaaS’a geçişle ne değişti?
Kaba zorlama ve kimlik bilgisi doldurma yeni bir şey değildir ve onlarca yıldır siber saldırgan araç setinin önemli bir bileşeni olmuştur. Ancak, kimlik bilgilerini bir zamanlar olduğu gibi sistemlere otomatik olarak püskürtmek o kadar kolay değildir.
Artık tek beden yok-
Bir altyapı çevresinde bulunan uygulamalara ve verilere sahip tek bir merkezi ağ yerine, iş artık yüzlerce web tabanlı uygulama ve platformdan oluşuyor ve kuruluş başına binlerce kimlik yaratıyor.
Bu, kimliklerin de yalnızca Active Directory gibi kimlik sistemlerinde depolanmanın ve ortak protokoller ve mekanizmalar kullanılarak uygulanmanın aksine, artık internette merkezi olmayan ve dağıtıldığı anlamına gelir.
HTTP (ler) standart olsa da, modern web uygulamaları her seferinde farklı grafiksel güdümlü bir arayüze sahip karmaşık ve son derece özelleştirilmiştir. Daha da kötüsü, modern web uygulamaları, Captcha gibi bot korumaları yoluyla kötü amaçlı otomasyonu önlemek için özel olarak tasarlanmıştır.
Bu nedenle, standart protokollerle karşılaşmak ve herhangi bir kuruluş/ortamda kullanmak için tek bir araç kümesi yazabilmek yerine, bir DNS tarayıcısı yazın, tüm İnternet için NMAP gibi tek bir bağlantı noktası tarayıcı kullanın, hizmet başına tek bir komut dosyası yazın (örneğin FTP, SSH, Telnet, vb.) Şifre sprayer için – özel araç geliştirme için gereklidir – özel araç geliştirme, hedeflemek istediğiniz her uygulama için gereklidir.
Samanlıkta iğneyi bulmak
Saldırganların saldırılarının kapsamına dahil edilmesi için daha fazla ortam var değil, aynı zamanda çalışmak için daha fazla kimlik bilgileri var.
Etrafta var 15 milyar tehlikeye atılmış kimlik bilgileri Sadece özel kanallarda/beslemelerde bulunanlar dahil olmak üzere, genel internette mevcuttur. Bu liste her zaman büyüyor-244m daha önce hiç görülmemiş şifreler ve 493m benzersiz web sitesi ve e-posta adres çiftleri gibi, geçen ay Infostealer günlüklerinden alınmıştım.
Bu korkutucu geliyor, ancak saldırganların bu verileri kullanması zor. Bu kimlik bilgilerinin büyük çoğunluğu eski ve geçersizdir. PUSH güvenlik araştırmacıları tarafından TI verilerinin yakın zamanda gözden geçirilmesi, çok satıcı bir veri setinden tehdit istihbarat beslemelerine dahil olan çalıntı kimlik bilgilerinin% 1’inden daha azının eyleme geçirilebilir olduğunu buldu- Başka bir deyişle, tehlikeye atılan kimlik bilgilerinin% 99’u yanlış pozitiflerdir.
Ancak hepsi işe yaramaz – kar tanesi saldırılarının gösterdiği gibi, bu da 2020’ye kadar uzanan kimlik bilgilerini başarıyla kullanıyor. Bu yüzden saldırganlar tarafından keşfedilmeyi bekleyen açık hazineler var.
Saldırganlar öncelik vermek zorunda kalıyor
Uygulamaların ve kimliklerin dağıtılmış niteliği ve tehlikeye atılan kimlik bilgilerinin düşük güvenilirliği, saldırganların öncelik vermek zorunda kaldığı anlamına gelir-yüzlerce iş uygulamasının hedef açısından zengin bir ortamına rağmen, kuruluş başına binlerce yayılmış kimlik yaratır, çünkü:
- Her uygulama için özel python komut dosyaları yazmak ve çalıştırmak (internette 40K’dan fazla SaaS uygulaması vardır) gerçekçi değildir. Toplam fırsatın yüzeyini zar zor çizerken, önemli bir görev olacak ve sürekli bakım gerektirecek en iyi 100 veya 1000 yapmış olsanız bile.
- Saldırıyı dağıtmak ve IP engellemeden kaçınmak için tam olarak senaryo ve botnet kullanıldığında bile, hız sınırlama, captcha ve hesap kilitlemeleri gibi kontroller tek bir uygulamaya karşı kütle kimlik bilgisi doldurmayı engelleyebilir. Ve tek bir siteye yapılan konsantre bir saldırı, makul bir zaman diliminde 15 milyar şifreyi almak istiyorsanız önemli düzeyde trafik üretecektir, bu nedenle alarmı yükseltmesi çok muhtemeldir.
Bu nedenle saldırganlar daha az sayıda uygulamayı hedefleme eğilimindedir ve sadece denenen kimlik bilgileri açısından doğrudan bir eşleşme arar (örneğin, çalınan kimlik bilgileri doğrudan hedef uygulamadaki bir hesaba ait olmalıdır). Yeni bir şeyin peşinden gittiklerinde, belirli bir uygulamaya/platforma (örneğin kar tanesi) konsantre olma eğilimindedir veya daha dar bir kimlik bilgileri (örneğin, daha geleneksel ağ ortamları için Edge cihazlarıyla açıkça ilişkili kimlik bilgileri) arama eğilimindedir.
Kaçırılan bir fırsat?
Belirlediğimiz gibi, bu sınırlamalara rağmen, kimlik bilgisi doldurma saldırılarına ilişkin durum zaten oldukça kötü. Ancak işler önemli ölçüde daha kötü olabilir.
Şifre Yeniden Kullanımı
Saldırganlar, daha fazla sayıda uygulamayı hedeflemek için saldırılarının ölçeğini artırabildiyse (yüksek değerli uygulamaların kısa listesine odaklanmak yerine) çok yaygın şifre yeniden kullanımından yararlanabilirler. Kimlik verilerinin son zamanlarda yapılan bir araştırmasına göre, ortalama olarak:
- 3 çalışandan 1’i şifreleri yeniden kullanın
- Kimliklerin% 9’unda yeniden kullanılan bir şifre var ve MFA yok
- IDP hesaplarının% 10’unda (SSO için kullanılan) benzersiz olmayan bir şifre var
Bu ne anlama gelir? Çalınan bir kimlik bilgisi geçerli ise, birden fazla hesaba (en azından) birden fazla hesaba erişmek için kullanılma şansı vardır (en azından).
Senaryoyu hayal edin: Infostealer enfeksiyonlarından veya kimlik bilgisi kimlik avı kampanyalarından yapılan yakın tarihli bir uzlaşmacı kimlik sızıntısı, belirli bir kullanıcı adının ve şifre kombinasyonunun belirli bir uygulamada geçerli olduğunu gösteriyor – diyelim Microsoft 365. Şimdi, bu hesap oldukça kilitli – sadece MFA’ya sahip değil, aynı zamanda IP/konumu kısıtlayan koşullu erişim politikaları var.
Genellikle, saldırının biteceği yer burasıdır ve dikkatinizi başka bir şeye çevirirsiniz. Peki ya bu kimlik bilgilerini kullanıcının bir hesabı olan diğer tüm iş uygulamalarına püskürtebilseydiniz?
Bilgisayar kullanan aracılarla ölçeklendirme kimlik bilgisi saldırıları
Şimdiye kadar, AI’nın kimlik saldırıları üzerindeki etkisi, kimlik avı e-postalarının oluşturulması, AI destekli kötü amaçlı yazılım gelişiminde ve sosyal medya botları için LLM’lerin kullanımı ile sınırlı olmuştur-şüphesiz önemlidir, ancak tam olarak dönüştürücü değildir ve sürekli insan gözetimi ve girdisi gerektirir.
Ancak yeni bir “bilgisayar kullanma aracısı” olan Openai operatörünün lansmanı ile bu değişmek üzere olabilir.
Operatör, uzman bir veri kümesi üzerinde eğitilir ve kendi kum havuzu tarayıcısında uygulanır, yani bir insan gibi ortak web görevlerini gerçekleştirebilir – sayfaları bir insan gibi görür ve etkileşime girer.
Diğer otomatik çözümlerden farklı olarak, operatör yeni sitelerle etkileşime girebilmek için özel bir uygulama veya kodlama gerektirmez, bu da geniş bir site/uygulamalar taramasını hedeflemek isteyen saldırganlar için çok daha ölçeklenebilir bir seçenek haline getirir.
Demo: Operatörü Kullanma Kimlik bilgisi doldurma saldırılarını ölçekte yapmak
Push Security’deki araştırmacılar, operatörün kötü niyetli kullanım durumlarını test ederek aşağıdakileri kullanarak şunları kullandı.
- Uygulama listesinde hangi şirketlerin mevcut bir kiracıya sahip olduğunu belirleyin
- Sağlanan bir kullanıcı adı ve şifre ile çeşitli uygulama kiracılarına giriş yapmaya çalışın
https://www.youtube.com/watch?v=a_yjafxpjmo
Etki Özeti
Sonuçlar oldukça göz açıcıydı. Operatör, tehlikeye atılan kimlik bilgilerine sahip bir uygulama listesini hedefleme ve uygulama içi eylemler gerçekleştirme yeteneğini açıkça gösterdi. Şimdi bu x10, x100, x10.000’i düşünün … Bunlar karmaşık görevler değildir. Ancak CUAS operatörünün değeri karmaşıklığa değil, ölçek ile mücadele etmektir. API üzerinden operatör pencerelerini düzenleyebileceğiniz ve bu eylemleri aynı anda yürütmesini sağlayabileceğiniz bir dünya hayal edin (ChatGPT için zaten var olan işlevsellik).
Ancak bu operatörden daha büyük – teknolojinin yönü ile ilgili. Openai kısıtlamalar uygulayabilir-daha iyi uygulama içi korkuluklar, eşzamanlı görevlerin ve toplam kullanımların sayısı üzerindeki oran sınırları, ancak bunun tek CUA olmayacağını garanti edebilirsiniz-benzer ürünlerin aynı teknolojiyi kullanan ortaya çıkması (belki de doğal olarak kötü niyetli olanlar) sadece bir zaman meselesidir.
Son Düşünceler
Cua Tech için hala ilk günler, ancak bu özel AI güdümlü otomasyon formu ile zaten ciddi bir güvenlik zorluğunun daha da kötüleşebileceğine dair açık bir gösterge var. Geniş bir uygulama setini hedefleme yeteneği daha önce geleneksel otomasyon kapsamının ötesinde olsa da, düşük vasıflı saldırganlar için bile çok daha erişilebilir olmak üzeredir (düşünün: bir sonraki gen senaryosu çocukları?).
Bunu düşünmenin başka bir yolu, bir insan saldırganına etkili bir şekilde düşük seviyeli stajyerler filosuna vermesidir. epeyce Ne yaptıklarını bilin, ancak diğer, daha karmaşık görevler üzerinde çalışırken, sadece ara sıra check -in ile belirli, ayrıntılı görevleri ölçeklendirme talimatı verilebilir. Yani, AI Bots’un kırmızı takım yöneticisi gibi.
Operatör, saldırganların ödün verilen kimlik bilgilerinden yararlanabileceği, çok sayıda savunmasız ve yanlış yapılandırılmış kimliklerden yararlanabileceği ve bunları sistemik ihlallere çok daha kolay dönüştürebileceği anlamına gelir. Bir bakıma, kimlik bilgisi doldurmayı, her seferinde özel geliştirmeye ihtiyaç duymadan hedeflerinize binlerce kimlik bilgisini püskürtebileceğiniz bulut uygulamalarına geçmeden önce olduğu gibi biraz daha fazla yapabilir.
Neyse ki, yeni bir anti-anti-yetenek gerekli değildir-ancak kuruluşların kimlik saldırısı yüzeyini savunmak ve saldırganlardan yararlanmadan önce kimlik güvenlik açıklarını bulmak ve düzeltmek her zamankinden daha önemlidir.
Daha Fazla Bulun
Kimlik saldırıları ve bunları nasıl durduracağınız hakkında daha fazla bilgi edinmek istiyorsanız, Push Security’ye göz atın-bir demo rezervasyonu yapabilir veya tarayıcı tabanlı platformlarını ücretsiz olarak deneyebilirsiniz.
Ve onları görmek istiyorsanız, operatörün daha kötü niyetli kullanım durumlarını demo olarak, bu isteğe bağlı web seminerine göz atın.