با افزایش وابستگی سازمانها به سرویسهای ابری، مفهومی به نام زندگی در بستر ابری (living off the cloud) به سرعت در حال جایگزینی با زندگی با استفاده از ابزارهای بومی (living off the land) است. مهاجمان به طور فزایندهای از پلتفرمهای معتبر SaaS، زیرساختهای ابری و سیستمهای هویتی برای مخفی کردن فعالیتهای مخرب خود در ترافیک سازمانها استفاده میکنند. در این مقاله، به بررسی روشهایی خواهیم پرداخت که مهاجمان برای سوءاستفاده از سرویسهای ابری و انجام حملات سایبری پیچیده از آنها استفاده میکنند.
مهاجمان بهطور قابل توجهی از سرویسهای ابری معتبر مانند OpenAI و AWS برای مخفیسازی ترافیک مخرب خود در کنار ترافیک قانونی سازمانها بهره میبرند. این تغییرات در شیوههای حملات سایبری نشاندهنده تغییرات مهم در نحوه نفوذ و اجرای حملات از طریق زیرساختهای ابری است.
به گفته Arif Khan، رئیس سرویسهای شکار تهدید و پاسخ درMitiga: «مهاجمان به جای سوءاستفاده از باینریهای لوکال مانند PowerShell یا WMI، از ابزارهای مدیریتی بومی ابری، APIها، سیستمهای هویتی و کنسولهای مدیریت برای انجام فعالیتهای خود استفاده میکنند.»
1. فرماندهی و کنترل پنهان از طریق ابزارهای ابری میزبانیشده
محققان Google و Mandiant بهتازگی یک عملیات جاسوسی چینی (UNC2814) را مختل کردند که از Google Sheets به عنوان مکانیزم فرماندهی و کنترل (C2) استفاده میکرد. بدافزار در این کمپین از Google Sheets برای پنهان کردن ترافیک C2 استفاده میکند که در ترافیک عادی شبکه ادغام میشود.
2. مخفی کردن فرماندهی و کنترل در APIهای معتبر ابری
مهاجمان از APIهای OpenAI برای مخفیسازی ترافیک C2 خود استفاده میکنند. برای مثال، بدافزارهایی مانند بکدور SesameOp ارتباطات C2 را از طریق APIهای OpenAI برقرار میکنند؛ بهگونهای که این ترافیک شبیه فعالیتهای عادی مرتبط با توسعه و استفاده از ابزارهای هوش مصنوعی به نظر میرسد.
بهدلیل استفاده از APIهای معتبر ابری، شناسایی چنین حملاتی بسیار دشوار است و همین موضوع به مهاجمان کمک میکند فعالیتهای خود را برای مدت طولانیتری پنهان نگه دارند.
3. استفاده از فضای ذخیرهسازی ابری برای مراحل پیلود
مهاجمان از سرویسهای ذخیرهسازی ابری نظیر S3 برای ذخیره پیلودها یا فایلهای پیکربندی استفاده میکنند. این عملکرد باعث کاهش ردپای بدافزارها روی دیسک و امکان تعویض پیلودها بدون نیاز به استقرار مجدد بدافزار میشود.
4. استخراج دادهها از طریق سرویسهای ارتباطی ابری
مهاجمان بهجای استفاده از FTP یا وبسایتهای غیرمعتبر برای استخراج دادههای حساس، از Slack و Discord برای انتقال اطلاعات محرمانه به کانالهای تحت کنترل خود استفاده میکنند. این نوع حملات نه تنها از سرویس ابری معتبر بلکه از پروتکلهای امن برای فرار از شناسایی بهره میبرد.
5. زنجیرههای حمله چندمرحلهای کاملاً بومی ابری
برخی کمپینهای سایبری بهطور کامل در محیط ابری اجرا میشوند. مهاجمان از سرویسهای ابری برای جمعآوری اعتبارنامهها، میزبانی پیلودها و استخراج دادهها استفاده میکنند. مهاجمان قادر به انجام حملات پیچیده با استفاده از سرویسهای ابری بهعنوان بستر اصلی حمله هستند.
6. فیشینگ و مهندسی اجتماعی از طریق پلتفرمهای ابری معتبر
مهاجمان از پلتفرمهای ابری معتبر مانند مایکروسافت برای میزبانی صفحات فیشینگ استفاده میکنند. این حملات معمولاً از زیرساختهای ابری معتبر برای پنهانسازی ترافیک مخرب و فریب دادن کاربران استفاده میکنند.
7. سوءاستفاده از زیرساختهای بدون سرور
مهاجمان از سرویسهای بدون سرور مانند AWS Lambda یا Azure Functions برای اسکن شبکهها استفاده میکنند. این نوع حملات از زیرساختهای ابری معتبر برای انجام عملیات مخرب بهره میبرد و باعث میشود مهاجمان بتوانند به راحتی از شناسایی فرار کنند.
8. تانلینگ ابری برای عبور از فایروالها
مهاجمان برای عبور از فایروالهای سازمانی از تونلهای ابری مانند Cloudflare Tunnel یا ngrok استفاده میکنند. این روش به مهاجمان این امکان را میدهد که بدون جلب توجه از زیرساختهای ابری معتبر برای برقراری ارتباط C2 استفاده کنند.
9. استفاده از Snapshotهای EBS برای حملات
گروههای هکری با استفاده از تکنیک اشتراکگذاری snapshot در AWS به نفوذ در سیستمها میپردازند. این تکنیک باعث میشود که مهاجمان بتوانند بدون بارگذاری مستقیم فایلهای مخرب، از زیرساختهای ابری برای اجرای حملات استفاده کنند.
10. سوءاستفاده از روابط اعتماد در Entra ID
مهاجمان با نفوذ به Entra ID (که قبلاً به عنوان Azure AD شناخته میشد)، از روابط اعتماد میان سازمانها سوءاستفاده کرده و به شبکههای سازمانی نفوذ میکنند. این دسترسی به سرویسهای ابری به مهاجمان اجازه میدهد تا به راحتی سطح دسترسی مدیریتی را در شبکههای آسیبپذیر به دست آورند.
11. جمعآوری اطلاعات از مخزنهای ابری
گروههایی مانند Storm-0501 از AWS Secrets Manager برای استخراج اطلاعات حساس از سیستمهای ابری استفاده میکنند. این نوع حملات با سوءاستفاده از سرویسهای ابری معتبر تلاش میکنند جلب توجه کمتری داشته باشند و در عین حال دادههای حساس را جمعآوری کنند.
12. ساخت بدافزارهای بومی ابری
مهاجمان بدافزارهایی توسعه دادهاند که بهطور خاص برای زیرساختهای ابری مانند AWS، Azure و GCP طراحی شدهاند. این بدافزارهای بومیِ فضای ابری میتوانند برای مدت طولانیتری در محیطهای ابری پنهان بمانند و فعالیت خود را ادامه دهند.
