نگاهی به تعدادی از تهدیدات امنیتی، تحلیل و راه مقابله با آنها – قسمت سوم

در قسمت اول مقاله در مورد بررسی تهدیدات امنیتی صحبت کردیم و دو حمله Account Takeover و Advanced Persistent Threat و راه مقابله با آن ها و منشا آنها را را توضیح دادیم در قسمت دوم به تعدادی دیگر از انواع حملات نظیرAccess Token برنامه كاربردی، كلاهبرداری با صدور فاكتورهای جعلی، جعل فاكتورهای تجاری صحبت کردیم. در این قسمت به تعداد دیگری از حملات خواهیم پرداخت.

حمله شماره 7: اطلاعات اعتباری در معرض خطر

زمانی که صحبت از اطلاعات اعتباری تحت خطر می‌شود، بی شک غول سابق اینترنت یعنی Yahoo به ذهن‌ها می‌آید. در سال 2016، یک حمله باعث نقض امنیتی شدیدی در اطلاعات شخصی نیم میلیارد کاربر شد که شامل تاریخ تولد و شماره تلفن آنها بود. اما قصه از این نیز جذاب‌تر می‌شود، در همان سال پس از آن رویداد، Yahoo اعلام کرد که یک نقض امنیتی در سال 2013 نزدیک به 1 میلیارد حساب کاربری  که مشخص شد 3 میلیارد بوده را  تحت خطر قرار داد و علاوه بر آن، رمزهای عبور و سوالات و جواب‌های امنیتی رمزگذاری نشده آنها نیز به همین مشکل دچار شدند. دور از انتظار نبود که پس از آن رویداد قیمت فروش Yahoo 350 میلیون دلار کاهش یابد.

آنچه كاربر بايد در مورد تهدیدات امنیتی و راه مقابله با آن ها بداند

بیشتر افراد هنوز از احرازهویت تک‌مرحله‌ای برای شناسایی خود استفاده می‌کنند، زمانی که الزامات سخت‌گیرانه رمز عبور اعمال می‌شوند مانند تعداد حروف، ترکیب سمبل‌ها و اعداد و فواصل زمانی بازسازی آنها، کاربران نهایی یا به عبارتی End Userها همچنان اطلاعات اعتباری را در تمامی حساب‌های کاربری، پلتفرم‌ها و برنامه‌های کاربردی تکرار کرده و آنها را بطور مرتب بروزرسانی نمی‌کنند. این گونه رویکردها دسترسی به حساب کاربری را برای دشمنان آسان‌تر می‌کنند و تعداد نقض‌های امنیتی امروز به لطف کمپین‌های جمع‌آوری اطلاعات اعتباری است.

نحوه حمله :یک رمز عبور، کلید یا سایر معرف‌هایی که کشف شده‌ و می‌تواند توسط یک مهاجم برای دریافت دسترسی احراز هویت نشده به منابع و اطلاعات بکار رود و این امر از یک حساب کاربری واحد تا کل یک دیتابیس متغیر است. با استفاده از یک حساب‌کاربری مورد اعتماد در یک سازمان هدف، مهاجم می‌تواند بدون شناسایی شدن عملیات خود را اجرا کند و مجموعه‌داده‌های حساس را بدون هیچ اعلان خطری منتقل کند. روش‌های رایج سرقت اطلاعات اعتباری عبارتند از سرقت رمز عبور، حملات بدافزاری و کمپین‌های Phishing.

تحقیق و بررسی امنیتی با Splunk: شناسایی تهدیدات – قسمت اول

ویدیوهای بیشتر درباره تهدیدات امنیتی

منشا حمله: اطلاعات اعتباری تحت خطر بیانگر یک مسیر حمله بزرگ هستند و به آسانی راه تجهیزات رایانشی، حساب‌های کاربردی محافظت شده با رمز عبور و زیرساخت شبکه سازمان را به مهاجمان نشان می‌دهند. این مهاجمان عموما منظم هستند و بینش خود را بر یک سازمان یا فرد خاص معطوف می‌کنند، و همیشه خارج از سازمان نیستند ممکن است یک تهدید داخلی باشند که دارای دسترسی قانونی به داده‌ها و سیستم‌های شرکت هستند.   

حمله شماره 8: تخلیه اطلاعات اعتباری

Disney+ نزدیک به 10 میلیون کاربر را ثبت‌نام نمود و پس از آن سهام این شرکت رکورد شکنی کرد. اما پیروزی طول نکشید زیرا بسیاری از دنبال‌کنندگانی که مشتاق بودند اعتراض کردند که از حساب‌های کاربری خود بیرون انداخته شده‌اند. چند روز پس از راه‌اندازی، اطلاعات اعتباری Disney+ به قیمت ناچیز 3 دلار در دسترس قرار گرفتند. Disney اعلام کرد که سایت در واقع دچار نقض امنیتی نشده است، ظاهرا، کاربرانی که اطلاعات اعتباریشان در دسترس سایرین قرار گرفت قربانی یک اقدام رایج اما فضاحت‌بار شدند: استفاده از رمز عبور یکسان در تمامی سایت‌ها که مورد استفاده سارقین اطلاعات اعتباری قرار می‌گیرد.

آنچه كاربر بايد در مورد بررسی تهدیدات امنیتی و راه مقابله با آن ها بداند

تخلیه اطلاعات اعتباری به حمله‌ای می‌گویند که به جمع‌آوری اطلاعات از یک سیستم هدف می‌پردازد. حتی اگر اطلاعات اعتباری به صورت متون ساده نباشند آنها معمولا رمزگذاری شده و Hashشده هستند مهاجم همچنان می‌تواند داده‌ها را استخراج و آنها را در سیستم خود Crack کند. به همین دلیل است که در نام این حمله کلمه «تخلیه» وجود دارد. معمولا هکرها سعی می‌کنند از سیستمی رمزهای عبور را سرقت کنند که قبلا تحت خطر قرار داده بودند. حمله صدور و کنترل و انتقال جانبی از طریق شبکه که پیش‌تر به آن اشاره شد را درنظر می‌گیریم. اما مشکل زمانی برجسته‌تر می‌گردد که کاربران یک رمز عبور یکسان را در تمامی حساب‌های کاربری سیستم‌های مختلف همسان‌سازی می‌کنند.

نحوه حمله:  اطلاعات اعتباری که بدین طریق بدست می‌آیند معمولا مربوط به کاربران با دسترسی ویژه هستند که این امر ممکن است دسترسی به اطلاعات حساس‌تر و عملیات سیستم را ممکن سازد. هکرها معمولا منابع مختلفی را تحت حمله قرار می‌دهند تا اطلاعات اعتباری، حساب‌های کاربری خاص مانند مدیریت امنیت حساب‌های کاربری یا SAM، مدیریت امنیت Local یا LSA و NTDS کنترلرهای دامین یا فایل‌های گروه الویت Policy یا GPP را بدست آورند. زمانی که مهاجمان اطلاعات اعتباری معتبری را بدست آورند، از آنها استفاده می‌کنند تا به آسانی به سراسر شبکه راه یابند، سیستم‌های جدید را شناسایی و منابع مورد نظر را مشخص کنند.

منشا حمله: منشا تخلیه اطلاعات می‌تواند هرجایی باشد و از آنجایی که همگی ما محکوم به بازسازی رمزهای عبور هستیم، این اطلاعات ممکن است برای حملات آینده به فروش برسند.

حمله شماره 9: حملات همراه با استفاده دوباره از اطلاعات اعتباری

یکی از بزرگ‌ترین حملاتی که در آن از اطلاعات اعتباری پیشین استفاده شد، نقض امنیتی Dunkin Donuts در سال 2019 بود، که متاسفانه دومین هک سواحل شرقی در طی 2 ماه بود. در این زمان، مهاجمان تا حدی پیش رفتند که اطلاعات هزاران حساب کاربری را در Dark Web فروختند. آنها در یک مزایده اطلاعات اعتباری را  که شامل رمز‌های عبور ونام‌های کاربری بودند به بیشترین مبلغ پیشنهادی می‌فروختند و خریداران نیز سپس می‌توانستند در سایر سایت‌های کاربران از آنها رونمایی کنند تا ارزش بیشتری پیدا کند.

بیشتر بخوانید: مهم ‌ترین تهدیدات امنیتی در شبکه های SCADA

آنچه كاربر بايد در مورد بررسی تهدیدات امنیتی و راه مقابله با آن ها بداند

استفاده دوباره از اطلاعات اعتباری یک مشکل فراگیر در هر شرکت یا Userbase است. امروزه بیشتر کاربران ده‌ها حساب کاربری دیگر دارند و مجبورند چندین رمز عبور را برای تمامی الزامات سخت‌گیرانه حفظ کنند. در نتیجه آنها به استفاده مکرر از یک رمز عبور رو می‌آورند تا بتوانند اطلاعات اعتباری خود را بهتر به خاطر بسپارند و آنها را مدیریت کنند. تعجبی ندارد که این امر در صورت فاش شدن اطلاعات اعتباری می‌تواند مشکلات امنیتی بزرگی ایجاد نماید.

نحوه حمله: در تئوری، حمله بطور واحد امری آسان، مشخص و پنهانی است، اگر احرازهویت دومرحله‌ای فعال نباشد. زمانی که اطلاعات اعتباری یک کاربر سرقت شود، سارق از همان رمزعبور و نام کاربری در سایر سایت‌ها یا حساب‌های بانکی کاربر استفاده می‌کند تا در نهایت یک مورد همخوانی داشته باشد. با این‌حال ورود در اولین مرحله کمی پیچیده‌تر است. برای دریافت اطلاعات ویژه، مهاجمان معمولا کار خود را با Phishing آغاز می‌کنند، سپس از ایمیل‌ها و وبسایت‌هایی که تقریبا قانونی به نظر می‌رسند کاربران را فریب می‌دهند تا اطلاعات اعتباری خود را به آنها بدهند.

منشا حمله: این می‌تواند یک حمله متمرکز باشد که در آن شخص قربانی را می‌شناسد و می‌خواهد به دلایل شخصی، حرفه‌ای یا مالی به حساب‌های کاربری آنها دسترسی داشته باشد. این حمله ممکن است از سوی یک فرد کاملا غریبه باشد که بطور زیرزمینی اطلاعات اعتباری کاربر را خریداری کرده است.

حمله شماره 10: Credential Stuffing

سال 2019 سال Fort Lauderdale-Based Citrix Systems نبود زیرا آنها مشغول پیگیری نقض امنیتی عظیم سال قبل بودند که منجر به فروش اسناد تجاری از سوی یک هکر شد. FBI بر این باور است که نقض امنیتی بخاطر انتشار رمز عبور بوده که با نام Credential Stuffing نیز شناخته می‌شود، حمله‌ای که در آن هکر بطور همزمان به تعداد زیادی از حساب‌های کاربری دسترسی دارد. بنابر یک فرم بایگانی 10-K به U.S. Securities and Exchange Commission ،Citrix باور دارد که مجرمان سعی کردند تا به سیستم‌های شرکت نفوذ کنند تا به حساب‌های کاربری مشتری همکاری محتوا دسترسی یابند.

بیشتر بخوانید: پنج تکنولوژی امنیتی نوظهور جهت مقابله با تهدیدات سایبری

آنچه كاربر بايد در مورد بررسی تهدیدات امنیتی و راه مقابله با آن ها بداند

با Credential Stuffing، مجرمین سایبری از اطلاعات اعتباری حساب‌های کاربری سرقت‌شده استفاده می‌کنند، معمولا نام‌های‌کاربری و رمزهای عبوری که از یک نقض امنیتی داده‌ها بدست می‌آیند، تا با خودکارسازی هزاران و یا میلیون‌ها درخواست ورود که به برنامه‌کاربردی وب ما حمله‌ور می‌شوند، به حساب‌های کاربری بیشتری دسترسی داشته باشند.

آنها می‌خواهند تا به روشی آسان به حساب‌های کاربری حساس ما تنها با Log In شدن دسترسی پیدا کنند، این امر جواب‌گو است زیرا آنها بر شما و امثال شما که یک رمز عبور و نام کاربری را در جاهای مختلف استفاده می‌کنید وابسته هستند. اگر آنها موفق شوند، یک جفت اطلاعات اعتباری، رمز عبور و نام کاربری می‌تواند حساب‌های کاربری که اطلاعات مالی و اختصاصی را درخود جای داده‌اند را باز کنند و در واقع کلید همه‌چیز را به آنها می‌دهند. 

نحوه حمله: هکرها تنها به اطلاعات اعتباری Login نیاز دارند و پروکسی‌ها و ابزار خودکار که Credential Stuffing اطلاعات اعتباری را انجام می‌دهند. مهاجمان Cacheهای رمز‌های عبور و نام‌های کاربری را می‌گیرند که از نقض‌های امنیتی بزرگ بدست‌آمده‌اند و با استفاده از ابزارهای خودکار، اطلاعات اعتباری را روانه Loginها و سایر سایت‌ها می‌کنند.

منشا حمله: پروکسی‌ها موقعیت عاملین Credential Stuffing را مخفی نگه‌می‌دارند و شناسایی آنها را دشوار می‌کنند. اما می‌توان آنها را در سراسر دنیا به ویژه در کانون‌های سازمان‌یافته جرایم سایبری یافت. معمولا مهاجمان هکرها و افراد خاصی هستند که به ابزارهای ویژه Account-Checking و پروکسی‌های بسیاری دسترسی دارند که می‌توانند از قرارگیری IP آنها در لیست سیاه جلوگیری کنند. مهاجمانی که روش ساده‌تری دارند، ممکن است با Botها به تعداد زیادی از حساب‌های کاربری نفوذ کنند و این امر منجر به یک سناریو غیرمنتظره Denial-of-Service-Attack یا DDoS می‌شود. 

مقاله های مرتبط: