Bulut kimlik koruma şirketi Permiso, şirketlerin Snowflake ortamlarını uzlaşma kanıtı olarak sorgulamak için kullanabileceği bir tehdit algılama ve avlama aracı olan YetiHunter’ı yarattı.
YetiHunter sorguları yürütüyor (Kaynak: Permiso Security)
Snowflake müşterilerine yönelik son saldırılar
Bulut tabanlı veri depolama ve analiz şirketi Snowflake, yakın zamanda saldırganların ele geçirilen kimlik bilgilerinden yararlanarak bazı müşterilerinin hesaplarına eriştiğini belirtti.
Mandiant’ın analistleri, kimlik bilgilerinin çoğunun bilgi hırsızlığı yapan kötü amaçlı yazılımlar yoluyla ele geçirildiği ve bazılarının karanlık ağdan satın alındığı sonucuna vardı. Ayrıca bu saldırılarda vurulan yaklaşık 165 Snowflake müşterisinin kimliği de tespit edildi.
Her iki şirket de olası kurbanların Snowflake hesaplarındaki ve veri varlıklarındaki şüpheli etkinlikleri nasıl kontrol edebilecekleri konusunda uzlaşma göstergeleri ve tavsiyeler sağladı.
YetiHunter Hakkında
P0 Labs Kıdemli Başkan Yardımcısı (Permiso’nun tehdit araştırma kolu) Ian Ahl, Help Net Security’ye şunları söyledi: “Ancak Snowflake saldırılarını araştırmak, güvenlik alanında çalışan pek çok kişinin deneyimi olan bir beceri seti değil.”
“Analistlerin Snowflake kullanıcılarını hedef alan son saldırılarla ilişkili TTP’leri ve atomik göstergeleri incelemelerine yardımcı olacak ücretsiz, açık kaynaklı bir araç sunmak istedik. Bunu CloudGrappler, Cloud Console Cartographer ve LogLicker gibi diğer açık kaynak araçlarla yaptık.”
YetiHunter, Snowflake, Mandiant ve Datadog tarafından yayınlanan göstergeleri Permiso tarafından oluşturulan bir dizi algılamayla birleştiren, çalıştırılması kolay bir komut dosyasıdır.
YetiHunter’ın çalıştırdığı sorgular genişletilebilir, güncellenebilir, kaldırılabilir ve yenileri eklenebilir. Kullanıcıların bildiği kötü amaçlı IP’lerin listesi de güncellenebilir.
Şu anda uygulanan sorgular, saldırganların keşif, kayıt sızdırma, şüpheli değişiklikler ve daha fazlasını yaptığına dair kanıt arıyor.
Ahl, “YetiHunter, daha geniş bir gösterge ağı oluşturarak ve bunları tek bir komut dosyasında merkezileştirerek, Snowflake ortamınızdaki tehditleri önceliklendirmek için kapsamlı bir yol sağlayabilir” dedi.
“Kuruluşların Snowflake örneklerine sızmak için ele geçirilen kimlik bilgilerinden yararlanan tehdit gruplarının TTP’lerine ayak uydurmak için aracı güncellemeye devam edeceğiz.”