سلسلة الإستجابة للحوادث السيبرانية على EC2: المقالة الثالثة
مسار الهجمات والـLatral Movement في AWS EC2
بعد أن تعرفت على أهم ما يخص EC2 ومكونات شبكتها سنبدأ بوضع الهجمات السيبرانية على صورة أكبر بحيث ، بمعنى أننا سنتعرف على سيناريوهات شائعة الحدوث على شبكة EC2 وطريقة عبور المهاجم المنفذ للهجمة.
سنستخدم مخطط MITRE ATT&CK cloud لتقسيم المسار ولجعله أوضح.
أولا: الدخول الأولي | Initial Access
T1190:استغلال التطبيق الذي يواجه الإنترنت Public Facing
قد يحاول المهاجم استغلال نقطة ضعف في سيرفر يواجه الإنترنت للوصول إلى الشبكة في البداية، يمكن أن تكون نقطة الضعف في النظام عبارة عن ثغرة أو إعداد خاطئ “Misconfiguration“ في نفس التطبيق “خدمة الويب نفسها وليس نظام التشغيل“.
التطبيقات التي يتم إختراقها غالبًا ما تكون مواقع ويب/خوادم ويب، ولكنها يمكن أن تتضمن أيضًا قواعد بيانات (مثل SQL)، وخدمات أخرى (مثل SMB أو SSH)، وإدارة أجهزة الشبكة وبروتوكولات الإدارة (مثل SNMP وSmart Install)، وأي نظام آخر مفتوح يمكن الوصول إليه عبر الإنترنت اعتمادًا على الثغرة التي يتم استغلالها.
إذا تمت استضافة تطبيق على السحابة و/أو تم وضعه في حاوية “Container“، فقد يؤدي استغلاله إلى اختراق السيرفر نفسه أو الحاوية الأساسية. يمكن أن يسمح هذا للمهاجم بمسار للوصول إلى باقي تطبيقات السحابة أو الحاوية، أو استغلال الوصول إلى الجهاز المستضيف (السيرفر نفسه) عبر طريقة Escape to Host، أو الاستفادة من سياسات إدارة الهوية والوصول الضعيفة “IAM“.
وكمستجيب للحوادث السيبرانية، تحتاج في هذه الحالة إلى أن تتحقق من سجلات التطبيق “logs“ الذي تم إختراقه، على سبيل المثال اذا بدأ الإختراق باستغلال ثغره في تطبيق الويب بتحقق من سجلات الويب نفسه مثل Apache logs أو NginX logs وغيرها من سيرفرات الويب، واذا تم إختراق سيرفر قاعدة البيانات “Database“ فتحقق من سجلاته مثل سجلات mySQL وغيرها.
أيضا يمكنك الإستفادة من الـNetwork traffic في حال توفر لتفحص حركة الشبكة في وقت حصول الحادثة.
T1566:التصيد بالرسائل الإحتيالية Phishing
قد يرسل المهاجم رسائل بريد إلكتروني للتصيد الاحتيالي Phishing تحتوي على رابط ضار في محاولة للوصول إلى أنظمة الضحية. يعد التصيد الاحتيالي باستخدام رابط نوعًا محددًا من التصيد الاحتيالي. وهو يختلف عن الأشكال الأخرى من التصيد الاحتيالي من حيث أنه يستخدم الروابط لتنزيل البرامج الضارة بدلاً من إرفاق ملفات ضارة بالبريد الإلكتروني نفسه، لتجنب كشفه من الدفاعات التي قد تقوم بفحص مرفقات البريد الإلكتروني.
بإمكان المهاجم مثلا سرقة كلمات المرور الخاصة بمهندس السحابة الذي يمتلك صلاحيات عالية على منصة إدارة السحابة عن طريق إعطائه رابط تسجيل دخول مماثل لما هو في منصة AWS الحقيقية في رسالة بريد إلكتروني مماثلة لما يصله عبر البريد من AWS، أو عند تنزيله لبرنامج ضار Malware يسرق جميع كلمات المرور ومفاتيح الـAPI من الجهاز.
كمستجيب للحوادث السيبرانية، يجب أن تقوم بتغيير كلمات المرور المتعلقة والغاء أي وصول عبر الـAPI كجزء من عملية الإحتواء Containment، عندها تحقق من سجلات AWS CloudTrails و AWS Config (سنقوم بشرحها لاحقا) لتتحقق مما تم خلال الإختراق مثل إنشاء جهاز جديد، حذف جهاز، تعديل، وإلى آخره من التعديلات التي يمكن فعلها لتحقيق أهداف الإختراق.
T1078:استغلال الحسابات الفعالة Valid Accounts
قد يحصل المهاجم على بيانات المستخدم مثل كلمات المرور للحسابات الحالية ويستغلونها كوسيلة للحصول على وصول أولي أو استمرارية أو تصعيد الصلاحيات. يمكن استخدام بيانات كلمات المرور المخترقة لتجاوز صلاحيات الوصول الموضوعة على مكونات مختلفة داخل الشبكة، بل ويمكن استخدامها للوصول المستمر إلى الأنظمة البعيدة والخدمات المتاحة خارجيًا، مثل شبكات VPN وOutlook Web Access وأجهزة الشبكة و RDP. قد تمنح بيانات كلمات المرور المخترقة أيضًا، قد يختار الخصوم عدم استخدام البرامج الضارة أو الأدوات لسهولة الوصول الذي توفره الحسابات الفعالة مسبقا والتي حصل المهاجم على وصول اليها هذه لجعل اكتشاف وجودهم أكثر صعوبة.
وتنقسم الحسابات الفعالة إلى نوعين، أحدها الحسابات الإفتراضية وهي الحسابات التي يتم إنشاؤها تلقائيا عندما يبدأ المستخدم الخدمة، كمثال عندما تثبت خدمة ويب جديدة ويتم وضع مستخدم إسمه Admin وكلمة مروره Admin عندها سيفترض المهاجم كلمرة المرور ويستخدمها، النوع الثاني من الحسابات الفعالة هو الحسابات السحابية وهي حسابات يمكن الوصول اليها من أي مكان وغالبا ما تكون كلمات المرور الخاصة بها مسربة أو يتم إستخدامها من قبل شخص غير مصرح به.
وبدورك كمستجيب للحوادث السيبرانية، يجب أن تقوم بتغيير كلمات المرور المتعلقة أو تعليق الحسابات المتضررة والغاء أي وصول عبر الـAPI كجزء من عملية الإحتواء Containment، عندها تحقق من سجلات AWS CloudTrails و AWS Config لتتحقق مما تم خلال الإختراق مثل إنشاء جهاز جديد، حذف جهاز، تعديل، وإلى آخره من التعديلات التي يمكن فعلها لتحقيق أهداف الإختراق.
ثانيا: التنفيذ | Execution
T1651:أوامر إدارة السحابة Cloud Administration Command
قد يستخدم المهاجم خدمات الإدارة السحابية لتنفيذ الأوامر داخل الأجهزة الافتراضية. منصات مثل AWS Systems Manager وAzure RunCommand وRunbooks تسمح للمستخدمين بتنفيذ أوامر Scripts عن بعد في الأجهزة الافتراضية من خلال الاستفادة من البرنامج المثبت على الأجهزة أو ما يسمى بـAgents.
وهذه الأوامر يتم تسجيلها في سجلات CloudTrails logs فيمكنك الإطلاع عليها ومعرفة ما فعله المهاجم وتتعرف على حسابات المستخدمين المتضررة لتقوم بإلغاءها.
T1204:التنفيذ من قِبل المستخدم User Execution
قد يعتمد المهاجم على إجراءات محددة يقوم بها المستخدم من أجل القيام بالتنفيذ. قد يخضع المستخدمون للهندسة الاجتماعية لجعلهم يقومون بتشغيل أكواد برمجية ضارة، على سبيل المثال، عن طريق فتح ملف أو رابط مستند ضار. عادةً ما تتم ملاحظة إجراءات المستخدمين هذه كشكل من أشكال التصيد الاحتيالي.
كبداية يجب أن تقطع جميع إتصالات الجهاز عن الشبكة عن طريق الوسائل التي ناقشناها سابقا في الشبكة لتمنع أي وصول من قبل المهاجم إلى الجهاز،ثم ستحتاج لمعرفة كيف وصل الملف الضار سواء عن طريق بريد إلكتروني أو رابط ضار أو حتى مستخدم متعمد للأذى Insider، عن طريق سجلات ومؤشرات نظام التشغيل المثبت على السحابة System logs and artifacts.
ثالثا: الوصول إلى بيانات الإعتماد (كلمات المرور والحسابات) Credential Access
T1552:بيانات الإعتماد غير المحمية Unsecured Credentials
يمكن أن يقوم المهاجم بالبحث في الأجهزة المخترقة للعثور على بيانات مثل كلمات المرور وبيانات تعريفية للمستخدمين مخزنة بشكل غير آمن والحصول عليها. يمكن تخزين بيانات الاعتماد هذه و/أو وضعها في غير مكانها في العديد من المواقع على النظام، بما في ذلك الملفات النصية (مثل Bash History)، أو نظام التشغيل أو الحاويات الخاصة بالتطبيقات (مثل بيانات الاعتماد في السجلات logs)، أو الملفات الخاصة الأخرى (مثل المفاتيح الخاصة Private keys).
T1649:سرقة شهادات المصادقةSteal Authentication Certificate
عندما يقوم المهاجم بسرقة أو تزوير الشهادات المستخدمة للمصادقة للوصول إلى الأنظمة أو الموارد الأخرى. تُستخدم الشهادات الرقمية غالبًا لتوقيع الرسائل و/أو الملفات وتشفيرها. تُستخدم الشهادات أيضًا كمواد مصادقة. فمثلا ترتبط شهادات جهاز Azure AD وشهادات خدمات شهادات Active Directory (AD CS) بهوية ويمكن استخدامها كبيانات اعتماد لحسابات المجال، والعديد من الإستخدامات الأخرى، عند التأكد من أن شهادات الإعتماد تم سرقتها ينصح بطلب إلغاءها “Certificate revoke“ لمنع أي إستغلال لها سواء بفك تشفير محتوى خاص أو إرسال رسائل خبيثة موقعة بالشهادة.
T1539:سرقة الكوكيز لجلسات الويب Steal Web Session Cookie
قد يقوم المهاجم بسرقة ملفات تعريف الارتباط “الكوكيز“ من سيرفر الويب واستخدامها للوصول إلى تطبيقات الويب أو خدمات الإنترنت كمستخدم تمت مصادقته والتحقق منه دون الحاجة إلى بيانات الاعتماد. غالبًا ما تستخدم تطبيقات وخدمات الويب ملفات تعريف الارتباط الخاصة بالجلسة كرمز مميز للمصادقة بعد مصادقة المستخدم على موقع الويب.
رابعا: التنقل داخل الشبكة Latral Movement
في جزئية الـLatral Movment فإن المهاجم يكفيه الوصول إلى جهاز EC2 الأول ليبدأ بفحص الشبكة الداخلية أو الـSubnet ومعرفة ما إذا كانت الأجهزة تستخدم نفس كلمات المرور أو نفس مفتاح الـSSH أو في بعض الحالات ينسى مهندس السحابة تغيير كلمات المرور الإفتراضية وما إلى ذلك.
أيضا يمكن للمهاجم فحص الأجهزة الداخلية مثل قواعد البيانات ليجد ثغرات قابلة للإستغلال، مثل ثغرة SSH تمكنه من تخطي التحقق أو ثغرة RDP تمكنه من الوصول إلى أحد الأجهزة الداخلية.