paint-brush
クラウド フィッシング: 新しい手口と王冠の宝石@z3nch4n
11,444 測定値
11,444 測定値

クラウド フィッシング: 新しい手口と王冠の宝石

Zen Chan12m2023/01/02
Read on Terminal Reader

長すぎる; 読むには

クラウド コンピューティングは、フィッシャーがビジネスを獲得して成長させるための新しい遊び場を提供します。大小を問わず、フィッシング攻撃に対して無防備な組織はありません。フィッシング攻撃の第 1 段階は、多くの場合、クラウド サービスでホストされている偽の請求書またはドキュメントです。 8 月のニュースで見たように、AWS でのクラウド フィッシングの試みは、検出が難しいため、必ずしも成功したわけではありません。
featured image - クラウド フィッシング: 新しい手口と王冠の宝石
Zen Chan HackerNoon profile picture
0-item

進化したクラウド フィッシング手法の説明と、最近の Dropbox と Uber のハッキングから学んだ教訓


クラウド コンピューティングは、フィッシャーがビジネスを獲得して成長させるための新しい遊び場を提供します。しかし、それだけでなく、その影響はより広範囲で、より危険です。大小を問わず、フィッシング攻撃に対して無防備な組織はありません。したがって、どのように標的にされる可能性があるか、またそれを防ぐために何ができるかを知ることが重要です。


SaaS ベースのフィッシングはすでによく知られています。たとえば、すべてのデータ侵害の 90% 以上は、盗まれた認証情報から悪意のある URL に至るまで、フィッシングが原因です。また、 Palo Alto Networks Unit 42のレポートによると、研究者はこの悪用が大幅に増加していることを確認しており、同社が収集したデータは 2021 年 6 月から 2022 年 6 月にかけて 1,100% という大幅な拡大を示しています。


テクノロジーのさらなる進歩により、防御側はより洗練されたツールとテクニックを活用して、フィッシング メール、リンク、およびメッセージを検出してブロックできるようになるだけでなく、攻撃者のいたちごっこも改善されています。


ほとんどのソーシャル エンジニアリング攻撃は電子メールで配信されますが、 IT プロフェッショナルの 3 分の 1 は、2022 年に他の通信プラットフォームを介して配信されるソーシャル エンジニアリングが増加したと報告しています。


これらには、以下を介して配信される攻撃が含まれます


  • ビデオ会議プラットフォーム (44%)、
  • 従業員向けメッセージング プラットフォーム (40%)、
  • クラウドベースのファイル共有プラットフォーム (40%)、および
  • SMS (36%)。


さらに、ソーシャル メディアでのフィッシングはますます一般的になり、2022 年第 1 四半期には、 LinkedIn ユーザーは世界中のすべてのフィッシング攻撃の 52% の標的にされましたProofpoint の 2022 State of the Phishレポートによると、組織の 74% の従業員が詐欺的なテキスト メッセージ (スミッシング) を送信されており、同じ割合がソーシャル メディアで標的にされています。


検出が困難な新しいフィッシング手法 — SaaS-to-SaaS

これらはすべて、攻撃者が被害者のオンプレミス コンピューター/ネットワークに触れることなく発生する可能性があります。すべてが SaaS-to-SaaS で発生したため、アンチスパム ゲートウェイ、サンドボックス、URL フィルタリングなどの既存のセキュリティ対策はすべて検査されません。したがって、アラートは生成されません。


さらに、クラウド オフィスの生産性とマルチユーザー コラボレーション テクノロジの台頭により、攻撃者は悪意のあるドキュメント、ファイル、さらにはマルウェアをこれらの評判の良いドメインのクラウド インフラストラクチャ上でホストし、検出されずに共有することが可能になりました。


2020 年の Check Point Research の調査結果以降、この「多段階」の SaaS-to-SaaS フィッシング攻撃を使用する傾向が見られました。

Saa-to-SaaS フィッシング攻撃フローの例 |作者による画像


多くの場合、フィッシング攻撃の第 1 段階は、クラウド サービスでホストされている偽の請求書または安全なドキュメント PDF です。このドキュメントはダウンロードできます。ただし、使用を容易にするために、これらのクラウド サービスは表示用に PDF を開いて、制限や警告なしに Web ブラウザーに読み込むことができることに注意することが不可欠です。


展開された保護に必ずしもヒットするとは限らないため、検出するのは困難です。ニュースで見たように、AWS Cloud Phishing が8 月に試みられたように、メールの入口と出口にフィッシング検出が実装されている場合、それが発生することはありません。


すべてのアクションはクラウド (または複数のクラウド) で発生しました。検出/スキャンが行われたとき、すべてが合法で暗号化されているように見えました.ほとんどの場合、フィッシング メールは被害者のマシンに到達し、すべての魔法がブラウザで発生します。


多段階のクラウド フィッシング

多段階クラウド フィッシング |作者による画像

今年初め、 Microsoft は、多要素認証を使用しないユーザーを狙った Azure AD を利用した新しいフィッシングについて警告しました。


この攻撃は現在盛んですが、以前はそうではありませんでした。これは、攻撃者が、新たに盗んだ資格情報を使用したデバイス登録機能を介してBYOD (Bring-Your-Own-Device) の概念を利用し、いつでもどこでもクラウド認証にアクセスできるためです。

これは、従来のフィッシングと第 2 フェーズまたは第 3 フェーズのアクションを組み合わせた新しい攻撃手法です。最初の段階では、通常のフィッシング攻撃のように従業員の電子メールを盗みます。


しかし、被害者を攻撃する代わりに、 第 2 段階では被害者の名前で不正なデバイスに新しい Office 365 アカウントを確立します。新しいコンピューターで確立されると、被害者のユーザー アカウント (およびこの場合はその Azure Ad) を使用して、社内または正規の電子メール アカウントを使用する顧客に (被害者を装った)内部フィッシング攻撃が送信されます。


制御を強化したり、より優れた「ホスト」を見つけたい場合は、最初の被害者を介して見つけ、内部フィッシングによって 2 番目のアカウントを侵害することができます。これらの多段階攻撃は正当なもののように見え、企業の OneDrive または SharePoint システムにマルウェアを展開することさえあります。


ChatGPT (またはその他の AI)

HP Wolf Security の調査によると、フィッシングはマルウェア攻撃の 90% 近くを占めています。しかし、ChatGPT は状況全体をさらに悪化させる可能性があります。このようなインテリジェントな 🧠 AI チャットボットは、人間のようなフレンドリーなチャットを通じて情報を収集する方法になる可能性があります。そのため、被害者は自分が AI と対話していることにさえ気付かない可能性があります。

Check Point Research は最近、 AI モデルがスピア フィッシングからリバース シェルまでの完全な感染フローを作成する方法を示す興味深い記事を公開しました。さまざまなバリエーションを使用して、複数のスクリプトをすばやく生成できます。 LLM API を使用して他の悪意のあるアーティファクトを生成することで、複雑な攻撃プロセスを自動化することもできます。


別のリスクがより顕著です。 ChatGPT のような AI テクノロジーにより、攻撃者は大規模なフィッシングの量を標的型攻撃 (またはスピア フィッシング) と組み合わせることができます。たとえば、一般的なフィッシング攻撃が、電子メール、SMS (スマッシングの場合)、およびソーシャル メディアの投稿の形で何百万ものスパムを送信するとします。しかし、これらは簡単に見つけられるため、収穫量が少なくなります。


AI チャットボットを追加すると、何百万ものスピア フィッシング メッセージが数秒で生成される可能性があります。したがって、攻撃者は両方の長所を活かすことができます。したがって、2023 年には、数分以内に生成された数百万の一意のメッセージを送信する大規模なフィッシングが見られる可能性があります。これは、セキュリティ チームにとって大きな課題となるでしょう。


その他の新しいフィッシング手法


QRishing

攻撃者は現在、電子メールに埋め込まれた QR コードを介してマルウェア リンクを配信しようとしているため、ほとんどの電子メール セキュリティ ソリューションでは検出が困難になっています。 QRishing は、「QR コード」+「フィッシング」という言葉を組み合わせたものです。これは、攻撃が QR コードの形式であることを示しています。被害者をセキュリティで保護されていない WiFi ネットワークに接続するよう誘導する可能性がありますが、誰かがあなたの入力内容を簡単にキャプチャできます。


一部の攻撃者は、レストランやその他の公共の場所に悪意のある QR コードを貼り付けることさえあります。パンデミックによって物理的な接触が制限されているため、QR コードは攻撃者にとって一般的なツールです。メニューへのアクセス、ワクチンのチェックイン、公開情報の取得に使用します。さらに、ソーシャル エンジニアリングの戦術は、偽の QR コードをフィッシング テキスト (SMishing + QRishing) またはソーシャル メディア プラットフォームに挿入することです。悪意のあるコードをスキャンすると、ユーザーはフィッシング サイトにリダイレクトされ、被害者はログインして資格情報を盗むように求められる場合があります。


スミッシング

SMishing は、「フィッシング」と「SMS」を組み合わせた言葉です。これは、テキスト メッセージの形式でモバイル ネットワークを介して送信される一種のフィッシングであることを意味します。名前には SMS が使用されていますが、この攻撃は Facebook Messenger や WhatsApp などの他のメッセンジャー プラットフォームでも発生する可能性があります。一般的なスミッシングは、日常の必需品に焦点を合わせようとします。配達の遅れ、支払いの遅延、銀行からの通知、罰金、緊急の通知は、スミッシング攻撃の例です。


非常に多くの人が家にいて、オンラインで毎日多くの買い物をしているため、段ボールがあふれています。家に入るすべてのものを追跡するのは非常に困難です。有名な配送サービスと偽の「配送料」通知を組み合わせることは、スミッシングを成功させるための最良の方法です。

Crown Jewel = 開発者アカウント

攻撃者が開発者アカウントを侵害しようとするのはなぜですか?そして、それらが盗まれた場合、何が問題になる可能性がありますか?


開発者の立場にもよりますが、攻撃者はほぼすべてのものにアクセスできます。


  • SSH キー、
  • API キー、
  • ソースコード、
  • 生産インフラ、
  • CI/CD パイプラインへのアクセスと、
  • つまり作品。


「最善のシナリオ」で妥協すると、ジュニア エンジニアのアカウントが盗まれる可能性があります。


少なくとも、このエンジニアはソース コードへの「コミット」アクセス権を持っています。一方、組織がソフトウェア エンジニアリングのベスト プラクティス (コード レビューや、メイン ブランチにコミットできるユーザーの制限など) に従っていないとします。その場合、攻撃者は組織のソース コードを変更して最終製品を変更し、感染させることができます。


最も可能性が高い最悪のシナリオでは、攻撃者はより多くの権限を持つ上級開発者にアクセスできます。


このアカウントは、貴重なリソース (ソース コード、SSH キー、シークレット、認証情報、API キー、CI/CD パイプラインなど) へのアクセス権を持つ一部のコード チェックを手動でバイパスする可能性があります。この種のアカウントが危険にさらされるこのシナリオは、組織にとって壊滅的なものになります。開発者アカウントには、通常、GitHub またはその他のコード リポジトリへのアクセスが付属しています。


ドロップボックスとウーバー

Uber は 9 月、ハッカーが約 5,700 万人の顧客とドライバーの個人情報を盗んだことを明らかにしましたその後、ハッキングがリモート ソーシャル エンジニアリング攻撃」によって取得されたハードコードされた資格情報に関連していることを発見しました。 」


11 月、 Dropbox は開発者に対するフィッシング攻撃によるセキュリティ インシデントに遭遇しました。彼らは、多要素認証 (MFA) が導入されているにもかかわらず、偽の Web サイトへのフィッシング メールによってGithub 資格情報を入力するように仕向けられました。これらのインシデントを恐ろしいものにしているのは、これが単なるビジネス部門のランダムなユーザーではないということです。多くの Dropbox および Uber データへの特権アクセスを持つ開発者でした。

MFA疲労

これら 2 つの巨大なテクノロジー企業の両方のケースで、多要素認証が実装されました。それでも、ハッカーは、ほとんどの資格情報の盗難を防ぐことができるこの手段を回避または回避する方法を見つけています。


Uber の場合、ハッカー (伝えられるところによると 17 歳) は創造的で、ローテクではあるが非常に効果的な方法を思いついた - MFA 疲労攻撃.攻撃者は繰り返しログインを試み、大量のプッシュ リクエストをユーザーに送信して、被害者にサインインの確認を求めます。被害者が自分の電話で「いいえ」をクリックするのをやめてから「認証されたログイン」を行うと、MFA は失敗しました。


Dropbox の場合は、はるかに単純です。このフィッシング メールは、コード統合および配信プラットフォームである CircleCI から発信されたとされています。次に、本物そっくりのフィッシング サイトが、開発者を騙して資格情報とワンタイム パスワードを入力させました。したがって、MFA も失敗しました。

コードレポなど

これらのインシデントで見たように、継続的インテグレーション/継続的デプロイ (CI/CD) パイプライン スペースの GitHub およびその他のプラットフォームは、多くの企業にとって新しい「王冠」です。適切なアクセス許可があれば、攻撃者は知的財産、ソース コード、およびその他の機密データを取得できます。


しかし、それだけにとどまらず、GitHub は他のプラットフォームと統合されることが多く、許可された「ユーザー」がさらに先へ進むことができるようになっています。さらに、開発者のアカウントには通常、最も深いレベルへのアクセスが許可されます。これは、コア アプリケーションの保守と開発が彼らの職務の一部である可能性があるためです。そのため、開発者アカウントは攻撃者にとって最高の宝石になります。

フィッシング防御を改善する方法

業界の統計によると、平均的な組織は 1 日に数十通のフィッシング メールを受信しており、マルウェアやランサムウェア攻撃による損失が年々増加しており、フィッシング攻撃の平均コストが年々増加しています。強調表示されたすべての脅威に対処するには、余分な努力が必要です。フィッシング攻撃のリスクを排除することはできませんが、観察された傾向やインシデントから学習して、それらをより適切に管理できます。


たとえば、最近の Zscaler レポートからの推奨事項は次のとおりです。


  1. リスクを理解して、ポリシーとテクノロジーに関する意思決定をより適切に通知する
  2. 自動化されたツールと実用的な情報を活用して、フィッシング インシデントを減らします
  3. ゼロトラスト アーキテクチャを実装して、成功した攻撃の爆発範囲を制限します
  4. タイムリーなトレーニングを提供してセキュリティ意識を高め、ユーザーの報告を促進する
  5. フィッシング攻撃をシミュレートして、プログラムのギャップを特定します


フィッシング攻撃の 5 つの基本的な軽減策以外にも、さらに多くのことができます。したがって、私はあなたが持ち込むことができるヒントでこの記事を終了します.フィッシング詐欺師が最終的にあなたに到達する方法を見つけることを知っているので、サイバー レジリエンスを強化することは、開始するための優れた方法です。


ヒント #1: 多層的なフィッシング防御アプローチ

フィッシングに対する一般的な電子メール セキュリティは、多くの場合、電子メール ゲートウェイやエンドポイント/モバイル エージェントなど、1 つのガード ポイントのみに依存しています。そのゲートを通過するすべてのものは、ユーザーがフィッシング メッセージを見つけられるかどうかにかかっています。言うまでもなく、攻撃者は多段階のフィッシングで武器を研ぎ澄ましています。


逆に、多層防御アプローチは、ビジネスの生産性を損なうことなく、サイバー レジリエンスを向上させることができます。さらに、フィッシングメールを検出してキャッチする機会が複数あります。


  1. Reach — 電子メールがユーザーの受信トレイに届かないようにします。これは、スパム フィルターなどのアンチ フィッシング セキュリティ ソフトウェアを導入することで実現できます。さらに、次のようなスプーフィング対策を実装する必要があります。 DMARC、DKIM、および SPF レコード。
  2. 識別 — ほとんどのデータ侵害は、人的ミスによるフィッシング メールによって開始されます。したがって、スタッフは最新の潜在的なフィッシング メールを特定するための定期的なトレーニングを受ける必要があります。これにより、インシデントが発生したときに、関連チームへのインシデントの報告を含む会社のプロセスに従うことができます。
  3. 保護 — インシデントが発生した場合に備えて、保護を実施する必要があります。これらの保護には以下が含まれますが、これらに限定されません。多要素認証 (MFA)、パスワード マネージャー、定期的な IT ヘルス チェック、およびエンドポイント防御を実施します。
  4. 対応 — スタッフは、フィッシング インシデントを関連チームに報告できる必要があります。専用のセキュリティ ログと警報システム、およびインシデント対応計画を用意する必要があります。

一部の攻撃は通過しますが、このアプローチはインシデント対応に役立ち、影響を最小限に抑えます。

ヒント 2: ジャストインタイム (JIT) アクセス アプローチ

特権アクセスには重大な危険が伴う、とGartnerは主張しています。永続的な特権を持つユーザーによってもたらされるリスクは、PAM ツールを使用しても存続し、かなりのものです。彼らは、ジャストインタイム (JIT) ソリューションを ID およびアクセス管理 (IAM) リーダーが使用して、永続的な特権のない姿勢を最終的に達成することを提案しています。


Gartnerは、それに対抗するソリューションも提供しました - ジャスト イン タイム アプローチです。たとえば、開発者がこれらの資格情報を使用して本番リソースを設定または変更する場合、指定されたタスクを完了するために必要な機能のみを使用して、適切なアクセス許可を付与することが重要です。


情報セキュリティを扱う JIT アプローチでは、ユーザーは作業中に特権リソースにしかアクセスできません。これにより、攻撃対象領域が減少し、特権が永続的に保持されることによってもたらされるリスクが排除されます。


ヒント #3: メールボックス転送を確認する

攻撃者は侵害されたアカウントを使用して、内部データを盗むだけでなく、次のようなことも行います。


  • ユーザーのメールを読んだり、
  • マルウェアを配布し、
  • スパム行為、
  • ユーザーについて学び、第 2 段階のフィッシングをさらに開始する。
  • 外部受信者への電子メールの転送。


攻撃者は、侵害されたユーザーのメールボックスに受信メールを隠すために、悪意のあるアクティビティをユーザーから隠すためのメール ルールを設定する可能性があります。また、侵害されたユーザーのメールボックスにルールを作成して、メールを削除したり、RSS フォルダーなどのあまり目立たないフォルダーに移動したり、メールを外部アカウントに転送したりすることもあります。


電子メールは、転送ルールを使用して手動または自動で転送できます。自動転送は、 受信トレイ ルール、Exchange トランスポート ルール (ETR)、SMTP 転送など、さまざまな方法で実行できます。手動転送ではユーザーが直接アクションを実行する必要がありますが、自動転送されたすべてのメールを認識する必要がある場合があります。


外部アドレスへのすべての電子メール転送ルールのレビューをスケジュールし、それが異常な IP アドレスではなく、ユーザーの通常のアクティビティに対応していることを確認することをお勧めします。


最後の言葉

現実には、人的要因が考慮されている限り、誰もフィッシングを完全に阻止することはできません。結果として、長期的に私たちができる最善のことは、電子メール セキュリティにゼロ トラスト アーキテクチャを採用することです。それは、多層防御アプローチのより詳細な設計になります。


メールへのゼロ トラスト アプローチ |作者による画像

電子メールに対するゼロ トラスト アプローチは、組織が認証 (ユーザー/デバイスの信頼の検証) に焦点を当てることにより、電子メールのなりすまし攻撃から防御するのに役立ちます。企業環境に入る電子メールまたはエンド ユーザーの受信トレイに到達する電子メールが正当な個人、ブランド、およびドメインからのものであることを保証します。 .


すべての技術組織において、ソフトウェア開発者には特権的な地位が存在します。彼らは、クライアントに配布される製品へのアップストリーム アクセスと、生産システムおよびインフラストラクチャへのアクセスのため、現代の企業の要となっています。開発者が保護されていなければ、セキュリティ組織は破綻し、大惨事につながります。


残念ながら、フィッシング攻撃に引っかかった場合は、次のことを行ってください。

  • IT部門に連絡して、状況を知らせてください
  • 関連アプリケーションのパスワードをリセットする
  • 繰り返しパスワードを使用しないでください。代わりに、上記のアプリケーションと同じパスワードでアカウントをリセットしてください。
  • アカウントを 30 日間注意深く監視する


最後に、NIST は、ユーザーがフィッシング メールをクリックした理由をセキュリティ チームが確認できるようにする方法を開発しました。


読んでくれてありがとう。 InfoSec があなたと共にありますように🖖。