بارگوری گفت: «هنگامی که این کار را انجام دادید، یک URL دریافت خواهید کرد که به شما، مهاجم، امکان ارسال محمولهها را به دستگاه میدهد. قبل از سخنرانی خود در DefCon، او چندین دمو ایجاد کرد که نشان می داد چگونه می توان از Power Automate برای تحویل باج افزار به ماشین های آلوده استفاده کرد. دموهای دیگر نشان میدهند که چگونه یک مهاجم میتواند توکنهای احراز هویت را از یک ماشین بدزدد.
مایکل بارگوری، بنیانگذار و مدیر ارشد فناوری Zenity، شرکت امنیتی پشت این حمله، گفت: «این حمله از ابزارهای اتوماسیون، همانطور که طراحی شده است، استفاده می کند. اما به جای ارسال اقدامات قانونی، می توان از آن برای استقرار بدافزار استفاده کرد.
با آشکار شدن خطرات احتمالی برنامههای کمکد/بدون کد، بارگوری گفت که شرکتها ممکن است نیاز به ارزیابی مجدد سیاستهای خود داشته باشند.
وی گفت: از طریق این تونل اعتماد می توانید داده ها را به خارج از شبکه های شرکتی بکشید، می توانید کی لاگر ایجاد کنید یا اطلاعات را از کلیپ بورد بگیرید و مرورگر را کنترل کنید.
در چند سال گذشته، خودکار کردن وظایف معمول آسان تر شده است. با نرمافزار اتوماسیون، میتوانید ساعات کاری خود را در صفحهگسترده ردیابی کنید یا زمانی که شخصی در ایمیلی از شما نام میبرد، بهطور خودکار یک مورد فهرست کارها ایجاد کنید. ابزارک ها می توانند زندگی شما را آسان تر کنند، اما خطراتی نیز به همراه دارند.
یک محقق امنیتی راهی برای ربودن ابزار اتوماسیون نرم افزاری مایکروسافت برای ارسال باج افزار به ماشین های متصل و سرقت داده های دستگاه پیدا کرده است.
منبع: wired
تیم تحرریه شبکه خبری فناوری اطلاعات و ارتباطات
مایکروسافت در گزارش حادثه نوشت: “در یک اقدام غیرمعمول، مهاجم از سیستمهای موجود مشتری، از جمله eDiscovery، Compliance Search و Microsoft Flow برای سرقت خودکار نتایج جستجوی آنها استفاده کرد.”
تحقیقات برگوری از موقعیتی شروع می شود که یک هکر قبلاً به رایانه شخصی دسترسی پیدا کرده است. چه از طریق فیشینگ یا یک تهدید داخلی.
ادامه مطلب
هنگامی که یک مهاجم به رایانه دسترسی پیدا می کند، باید چند مرحله اضافی برای سوء استفاده از تنظیمات RPA انجام دهد. اما اینها نسبتا ساده هستند.
با افزایش محبوبیت ابزارهای RPA، قبلاً حملات واقعی برای سوء استفاده از پلتفرم ها طراحی شده اند. در اوایل سال 2020، تیم امنیتی مایکروسافت شش گروه از هکرها، از جمله یک APT چینی را در شبکه یک شرکت کشف کردند. گروهی از هکرها از سیستم های خودکار برای حذف داده ها استفاده کردند.
بارگوری گفت: “تحقیقات من نشان داده است که شما به عنوان یک مهاجم، به راحتی می توانید از همه این زیرساخت ها برای انجام دقیقا همان کاری که قرار است انجام دهد استفاده کنید.” شما از آن برای اجرای محموله های خود به جای محموله های شرکت استفاده می کنید.
برگوری گفت که قبل از سخنرانی او در DefCon، تیم مایکروسافت با او تماس گرفته و خاطرنشان کرد که مدیران شبکههای شرکتی میتوانند با «افزودن یک ورودی رجیستری» به دستگاههای خود دسترسی به ابزارهای Power Automate را محدود کنند. این فرآیند کنترلهایی را بر روی انواع حسابهایی که میتوانند به Power Automate متصل شوند، اعمال میکند. بنابراین امکان سوء استفاده از سیستم را کاهش می دهد.
بارگوری، که کل فرآیند را Power Pwn مینامد و آن را در GitHub مستند میکند، گفت: «هک زیادی در کار نیست. مهاجم ابتدا باید یک حساب ابری مایکروسافت به نام مستأجر ایجاد کند و آن را به گونهای پیکربندی کند که کنترلهای مدیریتی بر روی ماشینهای اختصاص داده شده به آن داشته باشد. این اساساً به حساب مخرب اجازه می دهد تا فرآیندهای RPA را در دستگاه کاربر نهایی اجرا کند. در دستگاهی که قبلاً در معرض خطر قرار گرفته بود، تنها کاری که یک هکر باید انجام دهد این است که آن را به یک حساب اداری جدید اختصاص دهد، با استفاده از یک فرمان ساده خط فرمان به نام غیرفعال کردن ضبط.
برگوری گفت، با این حال، برای موفقیت، این حرکت به تیم های امنیتی متکی است که خط مشی های روشن و منسجمی را در سراسر سازمان خود داشته باشند، که همیشه اینطور نیست.
یکی از سخنگویان مایکروسافت پتانسیل این حمله را کم اهمیت جلوه داد و خاطرنشان کرد که مهاجم باید قبل از استفاده از یک حساب کاربری به آن دسترسی داشته باشد. هیچ مکانیزمی برای به خطر انداختن یک دستگاه کاملاً به روز شده از راه دور با محافظت های آنتی ویروس با استفاده از این تکنیک وجود ندارد. این تکنیک بر یک سناریوی فرضی متکی است که در آن یک سیستم از قبل با استفاده از تکنیکهای موجود مانند مهندسی اجتماعی برای حمله اولیه و هر گونه حملات بعدی شبکه در معرض خطر قرار گرفته یا احتمالاً در معرض خطر قرار گرفته است.
به گفته برگوری، شناسایی این نوع حمله می تواند دشوار باشد. زیرا در همه جا از سیستم ها و فرآیندهای رسمی استفاده می کند. وقتی به معماری فکر می کنید، این یک ابزار اجرای کد از راه دور است که توسط مایکروسافت ساخته شده و مایکروسافت آن را امضا کرده است.
او گفت: «مهمترین کار این است که عوامل حزب جمهوری اسلامی چه می کنند، نظارت شود». شما واقعاً نمی توانید انتظار داشته باشید که همه کاربران تجاری در یک سازمان ویژگی هایی را ارائه دهند که فقط چند ماه پیش در دسترس توسعه دهندگان بود.
این حمله بر اساس Power Automate مایکروسافت است. یک ابزار اتوماسیون که در ویندوز 11 تعبیه شده است. Power Automate از نوعی اتوماسیون فرآیند روباتیک استفاده میکند که به نام RPA نیز شناخته میشود، که در آن رایانه از اقدامات انسان برای تکمیل وظایف تقلید میکند. اگر می خواهید هر زمان که فید RSS به روز می شود مطلع شوید، می توانید یک فرآیند RPA سفارشی ایجاد کنید تا این اتفاق بیفتد. هزاران مورد از این اتوماسیون ها وجود دارد و نرم افزار مایکروسافت می تواند Outlook، Teams، Dropbox و سایر برنامه ها را به هم متصل کند.
تحریریه ICTNN شبکه خبری
