سوءاستفاده مهاجمان از زیرساخت‌های ابر عمومی برای انتشار تروجان

به تازگی Cisco Talos یک کارزار جدید را که از محصولات مبتنی بر فناوری ابری برای گسترش بدافزار استفاده می‌کند شناسایی نموده است. این حرکت، جدیدترین نمونه سوءاستفاده از سرویس‌های ابر مثل مایکروسافت آژور و وب سرویس‌های آمازون برای دستیابی به مقاصد مخرب است.

بنا به گفته محققان، مهاجمان برای پوشش فعالیت‌های خودشان از سرویس DNS پویای DuckDNS استفاده نموده و نام دامنه میزبان‌های فرماندهی و کنترل مورد استفاده در کارزار مخرب‌شان را تغییر می‌دهند. این حملات سیستم‌های بسیار زیادی را در آمریکا، ایتالیا و سنگاپور مورد هدف قرار داده و بدافزارهای مختلفی از جمله Nanocore، Netwire و AsyncRAT را در آنها منتشر می‌کردند. این بدافزارها قابلیت‌هایی مثل امکان کنترل بر روی رایانه هدف را برای مهاجمان فراهم می‌کردند. به این ترتیب آنها می‌توانستند به‌راحتی اطلاعات مدنظرشان را سرقت نموده و فرما‌ن‌های دلخواه خود را اجرا کنند.

شروع حمله با ایمیل‌های فیشینگ

محققان متوجه شده‌اند که مسیر آلوده‌سازی در این حملات، یک ایمیل فیشینگ حاوی یک آرشیو ZIP بوده که شامل تصاویر ISO و یک اسکریپت مخرب بودند. وقتی این اسکریپت اجرا شود، به یک سرور بر روی AWS یا آژور متصل شده و بخش بعدی بدافزار را دانلود می‌کند.

بنا به گفته محققان، مهاجمان همواره از فناوری‌های ابری برای دسترسی به اهداف خودشان استفاده می‌کنند تا نیازی به میزبانی زیرساخت‌های اختصاصی خودشان نداشته باشند. چنین سرویس‌های ابری مثل آژور و AWS به مهاجمان امکان می‌دهند که با کمترین هزینه و زمان زیرساخت خودشان را آماده نموده و به اینترنت متصل کنند. اجرای چنین رویکردی از مجرمان سایبری در برابر راهکارهای دفاعی محافظت می‌کند. به این ترتیب هکرها می‌توانند به‌راحتی فعالیت‌هایشان را انجام دهند.

ایمیل‌های فیشینگ

حملاتی که جدید نیستند، اما خطر محیط ابر عمومی را نشان می‌دهند

براساس گفته Oliver Tavakoli مدیر ارشد فناوری شرکت Vectra، ارایه‌دهنده راهکارهای مدیریت تهدید خودکار: « استفاده از زیرساخت‌های سایر کاربران برای فرماندهی و کنترل بدافزار حرکت جدیدی نیست. پیش از حرکت گسترده سازمان‌ها به سرویس‌های ابری، این رویکرد شامل نفوذ به زیرساخت رایانه‌ای افراد و میزبانی ارتباطات مربوط به توزیع بدافزار و فرماندهی و کنترل در آنجا بود. در عصر ابر عمومی، می‌توانید قدرت محاسباتی را از برندهای معتبر که به راحتی وارد فهرست سیاه نمی‌شوند اجاره کنید.

Davis McCarthy محقق امنیت سایبری شرکت ارایه‌دهنده خدمات امنیت شبکه Valtix می‌گوید: «با توجه به اعتمادی که به امنیت شرکت‌های بزرگ وجود دارد، مهاجمان از سرویس‌های ابر شناخته شده در کارزارهای خودشان سوءاستفاده می‌کنند. از آنجا که ارتباط با آی‌پی‌های متعلق به شرکت‌های آمازون یا مایکروسافت در سرویس‌های مختلف زیاد رخ می‌دهد، ممکن است کارشناسان تصور کنند که این ارتباطات بی خطر و سالم هستند».

McCarthy به سازمان‌ها توصیه می‌کند که برای مقابله با چنین حملاتی فهرستی از سرویس‌های ابر شناخته شده و رفتارهای ارتباطی شبکه خودشان داشته باشند.

سرویس‌های ابر

Eric Kedrosky مدیر ارشد امنیت شرکت Sonrai Security می‌گوید: «نظارت پیوسته بر روی فعالیت‌های شبکه و مقایسه آن با یک خط مبنای از پیش تعیین شده، اهمیت بسیار زیادی برای شناسایی چنین کارزارهایی دارد. به کنترل‌های قدیمی مثل فایروال، آنتی ویروس و امثال آنها متکی نباشید چون در محیط ابر کارایی چندان زیادی ندارند».

بنا به گفته Kedrosky: «سازمان‌ها باید بر روی هویت‌های مربوط به کلیه کاربران در محیط‌های ابری به خصوص هویت‌های غیرانسانی و مجوزهای آنها نظارت کامل داشته باشند. محدودسازی هویت‌های مجاز و اقدامات قابل انجام بر روی سرویس‌های ابر خودکار امری ضروری است. اگر مهاجمی حسابی با دسترسی‌های گسترده را در اختیار بگیرد، امکان استفاده از محیط ابر شما بر ضد شما را خواهد داشت و شناسایی آن تقریباً غیرممکن خواهد بود».

 

منبع: csoonline

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.

سبد خرید
  • هیچ محصولی در سبدخرید نیست.
ورود | ثبت نام
شماره موبایل یا پست الکترونیک خود را وارد کنید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
درخواست بازیابی رمز عبور
لطفاً پست الکترونیک یا موبایل خود را وارد نمایید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
ایمیل بازیابی ارسال شد!
لطفاً به صندوق الکترونیکی خود مراجعه کرده و بر روی لینک ارسال شده کلیک نمایید.
تغییر رمز عبور
یک رمز عبور برای اکانت خود تنظیم کنید
تغییر رمز با موفقیت انجام شد
0