امنیت

نحوه‌ی مقابله با Zerologon و آسیب‌پذیری‌های مشابه

سپتامبر گذشته، آژانس امنیت زیرساخت و امنیت سایبری آمریکا (CISA) –که به ندرت در خصوص یک سری آسیب‌پذیری‌های خاص دستورالعمل‌ صادر می‌کند- به آژانس‌های دولتی دستور داد تا برای پچ کردنِ فوریِ تمامی کنترل‌های دامنه در شبکه‌های اینترنتی خود از Microsoft Windows Active Directory استفاده کنند. این موضوع به آسیب‌پذیریِ CVE-2020-1472 در پروتکل Netlogon موسوم به Zerologon مربوط می‌شد. در ادامه با ما همراه شوید تا این موضوع را مبسوط مورد بررسی قرار دهیم.

آسیب‌پذیری Zerologon از الگوریتم نامطمئن کریپتوگرافیک در مکانیزم احراز هویت Netlogon ناشی می‌شود و همین به مهاجم –که برای حمله به شبکه سازمانی یا کامپیوتر آلوده‌‌ی روی آن شبکه متصل شده است- اجازه می‌دهد روی کنترل دامنه نهایت نظارت و کنترل را داشته باشد. این آسیب‌پذیری حداکثر ارزش مقیاس CVSSv3 scale (یعنی 10.0) را دریافت می‌کند. مایکروسافت ماه آگست پچی را عرضه کرد اما تنها ظرف چند ساعت از عرضه این داکیومنت محققین شرکت امنیت سایبری هلندی به نام Secura شروع کردند که نشر اثبات مفهوم‌های خود (PoC). در عرض چند روز دست‌کم 4 نمونه از کد منبع باز در GitHub موجود شد و این نشان می‌داد آسیب‌پذیری مذکور تا چه اندازه می‌تواند قابلیت اکسپلویت داشته باشد.

Zerologon در حملات واقعی

البته که اثبات مفهوم‌هایی که به طور عمومی قابلیت دسترسی دارند نه تنها توجه متخصصین امنیت اطلاعات را به خود جلب کردند که حتی در این میان مجرمان سایبری هم خوب از آب گل‌الود ماهی گرفتند-آن‌ها فقط می‌بایست کد را در بدافزار خود  cut و paste می‌کردند. برای مثال، اوایل ماه اکتبر مایکروسافت اقداماتی را توسط گروه TA505–جهت اکسپلویت کردن  Zerologon- گزارش داد. مجرمان سایبری بدافزار خود را آپدیت نرم‌افزار جا زده بودند و برای اکسپلویتِ این آسیب‌پذیری شروع کردند به جمع‌آوری ابزارهای حمله روی کامپیوترهای آلوده. گروه دیگر –همان که دست‌های پشت پرده‌ی باج‌افزار Ryuk است- از Zerologon برای آلوده کردن کل شبکه‌ی لوکال شرکت –تنها در عرض 5 ساعت- استفاده کرد. این گَنگ که برای کارمندی یک ایمیل استاندارد فیشینگ ارسال کرده بود منتظر مانده بود تا ایمیل کلیک شده و کامپیوتر آلوده گردد. بعد از Zerologon برای رخنه به شبکه استفاده کرده و شروع کرده بود به توزیع فایل قابل اجرای باج‌افزار به همه سرورها و ایستگاه‌های کار.

چرا  Zerologon خطرناک است؟

میزبان هاست سوشال

شاید اینطور به نظر برسد که اکسپلویت  Zerologon مستلزم حمله‌ای است به کنترلر دامنه آن هم از داخل شبکه اینترنتی لوکال. اما در واقع مجرمان سایبری مدت‌هاست می‌توانند با استفاده از متودهای مختلف برای سرقت کامپیوتری در شبکه این مانع را دور بزنند. این متودها عبارتند از فیشینگ، حملات زنجیره تأمین و حتی جک‌های محافظت‌نشده‌ی شبکه در محل‌های اداری (برای بازدیدکنندگان). خطر دیگر از جانب کانکشن‌های ریموت است که تقریباً همه شرکت‌ها این روزها از آن‌ها استفاده می‌کنند؛ خصوصاً اگر کارمندان بتوانند از دستگاه‌های خود به منابع سازمانی متصل شوند. مشکل اصلی با  Zerologon (و آسیب‌پذیری‌های فرضی دیگر از همین جنس) این است که اکسپلویت آن شبیه به تبادل داده استاندارد بین یک کامپیوتر شبکه و یک کنترل دامنه است؛ با این تفاوت که شدت غیرمعمول این تبادل استاندارد به نظر نمی‌رسد!

در نتیجه، شرکت‌هایی که صرفاً تمرکز خود را روی راهکارهای امنیتی اندپوینت می‌گذارند به ندرت شانس این را پیدا می‌کنند که چنین حملاتی را شناسایی کنند. مدیریت چنین ناهنجاری‌هایی (آن هم از این قِسم) کار سرویس‌های تخصصی‌ای چون Kaspersky Managed Detection and Response (MDR) است. این در حقیقت یک مرکز امنیت خارجی است که اطلاعات جامعی از تاکتیک‌های مجرمان سایبری دارد و به کلاینت توصیه‌های عملی با جزئیات ارائه می‌دهد. این راهکار در دو سطح عرضه می‌شود: MDR بهینه و MDR متخصص. به محض انتشار جزئیات بیشتر در خصوص  Zerologon متخصصین SOC کسپرسکی شروع کردند به ردیابی اقدامات اکسپلویت از این آسیب‌پذیری (در سرویس MDR). آن‌ها می‌خواستند مطمئن شوند هر دو نسخه Kaspersky Managed Detection and Response می‌تواند با این تهدید مبارزه کند.

امتیاز این نوشته

امتیاز

امتیاز کاربران: 5 ( 1 رای)

مشاهده بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا