المخاطر المتزايدة لتطبيقات الجهات الخارجية: الحفاظ على الأمان في السحابة.
تشغيل تطبيقات الطرف الثالث في ملف سحابة أصبحت البيئة تمثل خطرًا أمنيًا متزايدًا للمؤسسات ، مما يعرض أعباء العمل لمخاطر أكبر ، خاصةً عندما يعرض برنامج الجهة الخارجية بعض وظائف واجهة برمجة التطبيقات على الويب العام. إن الافتقار إلى الإدارة والتحكم والرؤية في تطبيقات الطرف الثالث وسلسلة توريد البرامج ، بشكل عام ، هو السبب في أن المهاجمين يستهدفونهم بشكل متزايد لجمع المعلومات والتسلل إلى المنظمات.
يطور المهاجمون السيبرانيون اليوم تقنياتهم باستمرار ، مما يجعل أعباء العمل السحابية الأصلية هدفًا مغريًا للغاية. إلى جانب استغلال واجهات برمجة تطبيقات الويب لإطلاق العنان لحملات التشفير ، فإنهم يسيئون أيضًا استخدام عروض المستوى المجانية لمنصات CI / CD السحابية الشهيرة لتحويل قوة الحوسبة بسهولة إلى عملات رقمية.
في الواقع ، كشف فريق البحث في Aqua مؤخرًا عن عشرات الآلاف من الرموز المميزة للمستخدم التي يتم كشفها عبر واجهة برمجة تطبيقات Travis CI ، والتي تتيح لأي شخص الوصول إلى سجلات النصوص الشفافة التاريخية. يتوفر أكثر من 770 مليون سجل لمستخدمي الطبقة المجانية ، والتي يمكنك من خلالها بسهولة استخراج الرموز والأسرار وبيانات الاعتماد الأخرى المرتبطة بموفري الخدمات السحابية المشهورين. يمكن للمهاجمين استخدام هذه البيانات الحساسة لشن هجمات إلكترونية ضخمة والتحرك بشكل جانبي في السحابة.
في تلك الحالة ، تم الإبلاغ عن النتائج إلى Travis CI ومقدمي الخدمات المعنيين ، مع بدء البعض تناوبًا واسعًا للمفاتيح. ومع ذلك ، لفهم كيف تمكن الثغرات الأمنية في نصوص الطرف الثالث مجرمي الإنترنت من الوصول وتنفيذ هجوم ، يجب أن ننظر إلى الأساليب التي يستخدمها الفاعلون السيئون لإخفاء أنشطتهم وتجنب الكشف.
لهذا ، دعنا نكسر هجومًا مثيرًا آخر تم التقاطه بواسطة فريق بحث Aqua ، هذه المرة على حاوية Apache Struts 2.
الخطوة 1: الوصول الأولي والتهرب الدفاعي
Apache Struts 2 هي لعبة مشهورة المصدر المفتوح إطار عمل تطبيق الويب عبر الأنظمة الأساسية الذي يستخدمه العديد من المطورين في عملهم اليومي. قام الفريق بتحليل كيفية قيام المهاجمين باستغلال ثغرة Apache Struts 2 التي تسمح بتنفيذ التعليمات البرمجية عن بُعد (RCE) بموجب امتيازات خادم الويب Apache.
بعد بدء طلب HTTP GET للتحقق مما إذا كان الخادم ضعيفًا ، أطلق المتسللون طلب HTTP GET ثانيًا يحتوي على سطر أوامر تنفيذ يقوم بتنزيل نص برمجي shell وتشغيله في حاوية تلك المؤسسة.
مع اكتمال هجوم الوصول الأولي ، فإن الهدف الأول لسيناريو shell هو تقويض الدفاعات الأمنية وتمهيد الأرض لإجراءاتها التالية. إلى جانب تعطيل جدران الحماية ، والسماح بحركة المرور ، وحذف LD_PRELOAD ، يقوم البرنامج النصي بتنفيذ أوامر قتل متعددة للقضاء على أي برامج ضارة أو عمليات منافسة مثل أدوات التشفير ووكلاء السحابة.
بعد الانتهاء من كل هذه المهام ، يقوم المهاجمون بعد ذلك بحذف ملفات السجل في محاولة لتغطية مساراتهم وتجنب اكتشافها بعد وقوعها.
الخطوة الثالثة: التنفيذ
نظرًا لأن المتسللين قد أفسحوا الطريق أمام الهجوم الشامل ، فإن البرنامج النصي يقوم بإعداد المتغيرات ووظيفة "get" التي تُستخدم لتنزيل البرنامج الثنائي الرئيسي للبرامج الضارة وتنفيذه - وهو برنامج تشفير. معبأ بواسطة UPX لتجنب الكشف عن طريق التجزئة ، هذا الثنائي له وظيفتان.
إلى جانب أداء عمليات التشفير ، فإنه يتطلع أيضًا بنشاط إلى تشغيل المزيد من أدوات التشفير في المزيد من حالات الحاوية. يقوم بذلك عن طريق جمع جميع معلومات الاعتماد المتاحة الموجودة داخل الحاوية نفسها واستخدام حلقة للاتصال بالأنظمة المجاورة ، حتى يتمكن من تنزيل نفس البرنامج النصي للبرامج الضارة وتنفيذه على هذه الأنظمة الجانبية. وجد التحليل الذي أجريناه على هذا الهجوم المحدد أن البرامج الضارة نفذت مسحًا هائلاً في محاولة للعثور على منافذ SSH (المنفذ 22) و Redis (المنفذ 6379) المفتوحة في شبكة الحاويات الداخلية ، وأرسلت أكثر من 24,000 حزمة إلى هذين المنفذين.
الخطوة 3: الحمولة
الآن مخبأة بأمان في الحاوية ، تشغل البرامج الضارة مثيلًا مختلفًا من نفس البرنامج الثنائي باسم عملية مختلف ، متصلاً مرة أخرى بخادم القيادة والتحكم (C&C) الخاص بالمهاجمين لتنزيل وتنفيذ متغير 'coinminer'. لدعم جهود التشفير وتعزيزها ، حاول المهاجم أيضًا تحميل وحدة MSR kernel لزيادة السرعة الإجمالية لعملية التعدين.
تزايد عوامل الخطر
تتعامل المنظمات مع جهات تهديدات حديثة تبحث دائمًا عن طرق جديدة لاستغلال نقاط الضعف المعروفة في برامج الجهات الخارجية. في العام الماضي ، ارتفعت حالات البرمجيات الخبيثة بالتشفير بنسبة 300٪. بمجرد تحديد الثغرة الأمنية ، يمكن للمهاجمين تثبيت برنامج cyptominer الضار على المؤسسات المطمئنة. يسمح إجراء عملية التعدين باستخدام موارد المعالجة الخاصة بشخص آخر للمهاجمين بتوليد كنوز رقمية مربحة.
يمكن أن تؤدي الهجمات التي يستخدمها برنامج التنقيب عن العملات المشفرة إلى حدوث مشكلات كبيرة في الأداء في الخوادم وقواعد البيانات وأطر تطوير التطبيقات وحتى سيناريوهات رفض الخدمة (DoS).
ومع ذلك ، بمجرد اكتساب موطئ قدم أولي في بيئة المؤسسة ، لا يوجد الكثير لمنع الجهات الفاعلة السيئة من تركيز جهودها على التركيز على الأصول الأخرى ذات القيمة الأعلى.
يعمل مهاجمو اليوم دائمًا على صقل تكتيكاتهم لإخفاء أنشطة تعدين العملات المشفرة. إلى جانب تعطيل جدران الحماية ، فإنهم يقومون بإلغاء تنشيط المقاطعة غير القابلة للإخفاء التي تشير إلى الانتباه لأخطاء الأجهزة غير القابلة للاسترداد وإعادة تعيين النظام. بالإضافة إلى ذلك ، يقومون بتنزيل نصوص برمجية مشفرة ومبهمة لمنع أدوات الأمان من فهم نواياهم. في النهاية ، هدفهم هو تجنب الاكتشاف لأطول فترة ممكنة وتعظيم احتمالية العودة.
تأمين بيئة السحابة الخاصة بك
لدى المؤسسات مهمة كبيرة على عاتقها لتتبع جميع أحمال العمل والبرامج التي تعمل في بيئة سحابية ، خاصة بسبب السرعة التي لا هوادة فيها لدورة DevOps الحديثة. يجب أن تفكر المؤسسات في فرض مصادقة ثنائية لجميع المستخدمين ، ووضع قيود حماية الفرع ، وتقييد طلبات السحب المتشعبة للتشغيل على النظام الأساسي CI لتحسين الأمان. إلى جانب البحث عن الثغرات الأمنية المعروفة والعيوب الأمنية وإصلاحها ، فإن المراقبة المستمرة للحاويات واستكشاف الأنماط السلوكية المشبوهة وإصلاحها أمر ضروري. سيساعد استخدام تحليل وقت التشغيل ، مع الأدوات التي تتميز بمجموعات القواعد المضمنة ، في تطبيقات الطرف الثالث مثل Apache Struts 2 في تحديد الإمكانات
وقت التشغيل الهجمات والمآثر. على المدى الطويل ، يمكن أن يساعد الحل المخصص الذي يحكم بشكل صحيح وصول طرف ثالث في سلسلة توريد برمجيات المنظمة في تجنب مثل هذه المخاطر في المستقبل.
