قد تمثل الاستجابة الفعالة للهجمات السحابية والهجينة تحديًا فريدًا. في هذه السلسلة المكونة من ثلاثة أجزاء، نناقش كيف يتيح تنفيذ الاستجابة للحوادث المستندة إلى المعلومات الاستخبارية للمدافعين تحويل مزايا المهاجمين في السحابة ضدهم والاستجابة بشكل أكثر فعالية للتهديدات.

بعد طرح المفهوم في الجزء الأول، في هذا الجزء الثاني من السلسلة، سنشارك تفاصيل هجوم متطور وطويل الأمد في العالم الحقيقي في السحابة. في الجزء الثالث، سنتعمق في تحليل خطوة بخطوة لجهود الاستجابة لنفس الهجوم، مع تسليط الضوء على النقاط العملية للاستجابة الفعالة للحوادث.

ولحماية هوية المنظمة الضحية، تم تعديل بعض تفاصيل الهجوم ودمجها مع هجمات أخرى شوهدت على أرض الواقع. ومع ذلك، تم تنفيذ كل مرحلة من مراحل دراسة الحالة المقدمة من قبل مهاجمين ومستجيبين حقيقيين. من خلال تحليل الهجوم أولاً من وجهة نظر المهاجم، يمكننا أن نرى كيف يمكن الاستفادة من الاستجابة للحوادث المستندة إلى المعلومات الاستخبارية لهزيمة حتى الهجمات الأكثر تطوراً.

في حين أننا بطبيعة الحال لا نستطيع أن نقول على وجه اليقين ما كان يفكر فيه المهاجمون في كل مرحلة، فإن جهود التحقيق الجنائي والاستجابة للحوادث في نهاية المطاف تسمح لنا بإعادة بناء جدول زمني دقيق للهجوم. يعد فهم المراحل الرئيسية في هذا الجدول الزمني أمرًا بالغ الأهمية لفهم التعقيدات التي تواجهها المنظمة الضحية في الاستجابة للحوادث.

الوصول الأولي والحركة الجانبية إلى السحابة

بعد تحديد المنظمة المستهدفة على أنها الضحية المرغوبة، بدأ المهاجمون حملة تصيد واسعة النطاق على وسائل التواصل الاجتماعي تستهدف موظفي الشركة. في هذه الحالة، تم استهداف الموظفين في أقسام تكنولوجيا المعلومات والأمن في المنظمة الضحية أولاً، ومن المفترض أن ذلك لتزويد المهاجمين بوصول متميز للغاية من المراحل الأولى من عمليتهم. وتم استخدام الهندسة الاجتماعية الذكية لإقناع هؤلاء الموظفين بتنزيل وتنفيذ حمولات ضارة مخبأة في مجموعة متنوعة من البرامج التقنية وملفات البيانات.

وقد أتى هذا النهج بثماره في البداية بطريقة مدهشة، حيث قام أحد مهندسي العمليات السحابية بتنفيذ الحمولة الضارة على جهاز الكمبيوتر المنزلي الشخصي الخاص بهم والتي لم تحتوي على معلومات حساسة للشركة. وتبين أن هذا كان بمثابة استراحة محظوظة للمهاجمين، حيث كان الجهاز المنزلي غير المُدار يفتقر إلى EDR المثبت على أجهزة الشركة، مما قد يمنع تنفيذ الحمولة الضارة. وأصبح التحكم الكامل في هذا الجهاز الشخصي هو المفتاح لطبيعة هذا الهجوم المستمرة والاستجابة الصعبة.

ونظرًا لأن الهجوم وقع في ذروة جائحة كوفيد-19، فقد قامت المنظمة الضحية مؤخرًا بنقل مئات الموظفين إلى العمل من المنزل. ومن بين الحلول الأخرى، استلزم ذلك تمكين الموظفين من استخدام أجهزتهم الشخصية للاتصال عن بعد بموارد الشركة من خلال الاستفادة من Citrix. لسوء الحظ، سمح هذا للمهاجمين باستخراج ملفات تعريف الارتباط الصالحة لجلسة Citrix من الكمبيوتر المحمول الخاص بالموظف المخترق واختراق جلسة مميزة صالحة في شبكة الشركة بنجاح. تحتوي هذه الجلسة على وصول مباشر لـ RDP إلى خادم الانتقال المستخدم للوصول إلى بيئة AWS الإنتاجية الخاصة بالشركة وإدارتها. ومن هذا الخادم، تمكن المهاجمون من استخراج مفاتيح وصول AWS ذات الامتيازات العالية والمتابعة إلى المرحلة الرئيسية من الهجوم.

التسوية السحابية واسعة النطاق

بمجرد إنشاء الوصول إلى بيئة الإنتاج السحابية الرئيسية، تحرك المهاجمون في اتجاهين متوازيين بسرعة كبيرة. وفي غضون ساعات، بدأوا في استخراج البيانات من حاويات تخزين S3 وقواعد بيانات RDS الحساسة التي تحتوي على بيانات العميل، بالإضافة إلى تثبيت الأصداف العكسية على مثيلات EC2 في VPCs المتعددة. إن السرعة التي تم بها تنفيذ هذه المرحلة من الهجوم لا تترك مجالًا للشك في أن الكثير منها كان آليًا من خلال الاستفادة من نصوص وتقنيات الاستطلاع السحابي الموجودة مسبقًا.

على عكس الهجمات المدمرة مثل برامج الفدية التي عادة ما تكشف عن وجودها عن طريق إجراء التشفير أو مسح البيانات أو إسقاط الأنظمة، كان هذا الهجوم عبارة عن عملية سرقة بيانات بحتة. ومن الواضح أن المهاجمين كانوا راضين عن الحفاظ على قدرتهم على الوصول إلى البيانات الحساسة، والبقاء تحت رادار الفرق الأمنية التابعة للمنظمة الضحية لأكثر من عام.

بالإضافة إلى نجاحهم في استخراج بيانات تنظيمية حساسة للغاية وإنشاء موطئ قدم قوي في البيئة السحابية، كان المهاجمون أيضًا مجتهدين في تغطية مساراتهم. أدى حذف سجلات نظام التشغيل المحلي من مثيلات EC2 المخترقة لمنع تحليل عمليات تسجيل الدخول والأوامر المنفذة وتعديل سياسات تدقيق S3 وRDS لمنع المؤسسة من معرفة البيانات التي تم الوصول إليها بالضبط، إلى زيادة كبيرة في قدرتها على الحفاظ على التخفي. وعندما أدركت المنظمة أخيرًا أن شيئًا ما قد يكون خطأً، كان الهجوم مستمرًا لأكثر من 17 شهرًا. يصور الشكل 1 لمحة عامة رفيعة المستوى عن الهجوم.

الكشف وإعادة الدخول المتكررة

كانت الميزة الرئيسية التي نجح المهاجمون في تحقيقها هي المثابرة الفعالة للغاية. كان هذا هجومًا مختلطًا يتضمن ثلاث بيئات متميزة ومنفصلة: منزل الموظف الذي تم اختراقه في البداية، والبيئة الداخلية للشركة التي تم اختراقها من خلال Citrix وخادم الانتقال، وأخيرًا بيئة الإنتاج السحابية المستهدفة. جعلت الطبيعة المختلطة للهجوم من الصعب للغاية على المستجيبين للحوادث في الشركة علاجه. وكلما قاموا بالقضاء على أجزاء معينة من التهديد عن طريق تغيير بيانات الاعتماد أو عزل الأجهزة، اكتشفوا لاحقًا أن المهاجمين قد عادوا إلى الظهور في البيئة. وبدلاً من بذل جهود قياسية للقضاء على المرض وعلاجه، واجه المستجيبون للحوادث لعبة محبطة من لعبة الضرب بالخلد.

ومن وجهة نظر المهاجمين، لا بد أن هذا كان أمرًا مُرضيًا، بل ومسليًا أيضًا. بمجرد إلغاء وصولهم إلى AWS، حصلوا ببساطة على وصول جديد من خلال خادم الانتقال الداخلي المخترق، واستمروا في تصفية البيانات الحساسة.

حتى عندما تم القضاء على وصولهم إلى خادم الانتقال، كل ما كان عليهم فعله هو ببساطة العودة إلى الكمبيوتر المحمول الخاص بالموظف الذي تم اختراقه، وانتظار جلسة جديدة على خادم الانتقال، وعادوا مرة أخرى.

كان صبر المهاجمين من العناصر الحاسمة التي جعلت هذه الإستراتيجية فعالة للغاية. وبدلاً من المحاولة الفورية لاستعادة الوصول المفقود إلى البيانات الحساسة بعد كل محاولة للقضاء والمعالجة، سينتظر المهاجمون مرور العاصفة، مما يسمح للمؤسسة بافتراض شعور زائف بالأمان، وعندها فقط يعودون ويؤسسون وصولهم. واستمر هذا التراجع لعدة أشهر قبل أن يكشف تحقيق شامل أخيرا عن النطاق الكامل للهجوم.

تسلط دراسة الحالة هذه الضوء على فعالية الهجمات الهجينة داخل الشركة/السحابة. إن القدرة على تنفيذ أنشطة ضارة بسرعة وأتمتة في السحابة مع الاعتماد على الثبات القوي في بيئات متعددة تمكن المهاجمين من استغلال ساحة اللعب غير المتكافئة بالفعل لصالحهم. ورغم أن هذه الهجمات قد تبدو شاقة، إلا أنها بالتأكيد قابلة للتغلب عليها.

في الجزء الأخير من هذه السلسلة سنشارك جهود الاستجابة الواقعية لهذا الهجوم المعقد، مع التركيز على الطرق التي أنقذت بها الاستجابة للحوادث المستندة إلى المعلومات الاستخبارية موقف المنظمة الضحية.

شاركها.
اترك تعليقاً