फ़िशिंग नहीं, भेद्यता शोषण, आरंभिक समझौता प्लेटोब्लॉकचेन डेटा इंटेलिजेंस के लिए शीर्ष साइबर हमले वेक्टर हैं। लंबवत खोज. ऐ.

प्रारंभिक समझौते के लिए फ़िशिंग नहीं, बल्कि भेद्यता शोषण शीर्ष साइबर हमले वेक्टर हैं

समय टिकट: 8 सितंबर, 2022 11:20 पूर्वाह्न

फ़िशिंग और क्रेडेंशियल समझौता से जुड़े उल्लंघनों ने हाल के वर्षों में बहुत अधिक ध्यान आकर्षित किया है क्योंकि कितनी बार धमकी देने वाले अभिनेताओं ने लक्षित और अवसरवादी हमलों को अंजाम देने के लिए रणनीति अपनाई है। लेकिन इसका मतलब यह नहीं है कि उद्यम संगठन भेद्यता को ठीक करने पर अपना ध्यान थोड़ा कम कर सकते हैं।

इस सप्ताह कैस्परस्की की एक रिपोर्ट में दुर्भावनापूर्ण ईमेल और समझौता किए गए खातों से जुड़े उल्लंघनों की तुलना में इंटरनेट-फेसिंग अनुप्रयोगों में कमजोरियों के शोषण के परिणामस्वरूप पिछले साल अधिक प्रारंभिक घुसपैठ की पहचान की गई। संयुक्त. और कंपनी ने 2022 की दूसरी तिमाही के दौरान जो डेटा एकत्र किया है, उससे पता चलता है कि इस साल भी यही प्रवृत्ति चल सकती है।

कैस्परस्की का 2021 का विश्लेषण घटना-प्रतिक्रिया डेटा से पता चला है कि भेद्यता के कारनामों से जुड़े उल्लंघन 31.5 में सभी घटनाओं के 2020% से बढ़कर 53.6 में 2021% हो गए। इसी अवधि में, प्रारंभिक पहुंच प्राप्त करने के लिए समझौता किए गए खातों के उपयोग से जुड़े हमले 31.6 में 2020% से घटकर 17.9 हो गए। % पिछले साल। इसी अवधि के दौरान फ़िशिंग ईमेल से उत्पन्न प्रारंभिक घुसपैठ 23.7% से घटकर 14.3% हो गई।

एक्सचेंज सर्वर की खामियां शोषण के उन्माद को बढ़ावा देती हैं

कास्परस्की ने पिछले साल शोषण गतिविधि में वृद्धि को जिम्मेदार ठहराया, जो संभवतः माइक्रोसॉफ्ट द्वारा प्रकट की गई कई महत्वपूर्ण एक्सचेंज सर्वर कमजोरियों से जुड़ा था, जिसमें मार्च 2021 में चार शून्य-दिनों का सेट भी शामिल था, जिसे के रूप में जाना जाता है। प्रॉक्सीलॉगन दोष (सीवीई-2021-26855, सीवीई-2021-26857, सीवीई-2021-26858, सीवीई-2021-27065)। जब उन्हें एक साथ बांध दिया गया तो उन्होंने हमलावरों को ऑन-प्रिमाइसेस एक्सचेंज सर्वर पर पूर्ण रिमोट कंट्रोल हासिल करने की अनुमति दी। 

हमलावरों - जिनमें चीन के संगठित आपराधिक गिरोह और राज्य-प्रायोजित समूह शामिल थे - ने हजारों कमजोर एक्सचेंज सर्वर सिस्टम का तेजी से शोषण किया और माइक्रोसॉफ्ट द्वारा खामियों के लिए पैच जारी करने से पहले उन पर वेब शेल गिरा दिए। उनकी सर्वव्यापकता और गंभीरता के कारण कमजोरियों ने काफी चिंता पैदा की। उन्होंने अमेरिकी न्याय विभाग को एफबीआई को अभूतपूर्व कदम उठाने के लिए अधिकृत करने के लिए भी प्रेरित किया ProxyLogon वेब शेल को सक्रिय रूप से हटा रहा है सैकड़ों संगठनों से संबंधित सर्वर से - ज्यादातर मामलों में, बिना किसी सूचना के।

इसके अलावा 2021 में शोषण गतिविधि को चलाने के लिए एक्सचेंज सर्वर कमजोरियों की एक और तिकड़ी थी सामूहिक रूप से ProxyShell लेबल किया गया (सीवीई-2021-31207, सीवीई-2021-34473, सीवीई-2021-34523) जिसका इस्तेमाल हमलावरों ने रैंसमवेयर और बिजनेस ईमेल कॉम्प्रोमाइज (बीईसी) हमलों में बड़े पैमाने पर किया।

कैस्परस्की की ग्लोबल इमरजेंसी रिस्पांस टीम के प्रमुख कॉन्स्टेंटिन सैप्रोनोव का कहना है कि एक साल से अधिक समय के बाद भी, ProxyLogon और ProxyShell कमजोरियां भारी शोषण गतिविधि का लक्ष्य बनी हुई हैं। इन दोषों में से सबसे गंभीर दोषों में से एक (CVE-2021-26855) भी सबसे ज्यादा निशाने पर रहा है. सैप्रोनोव के अनुसार, कैस्परस्की ने भेद्यता देखी - प्रॉक्सीलॉगन सेट का हिस्सा - भेद्यता शोषण से जुड़ी सभी घटनाओं में से 22.7% में इसका फायदा उठाया गया, जिसका उसने 2021 में जवाब दिया और यह दोष इस साल भी हमलावरों के बीच पसंदीदा बना हुआ है।

2022 में भी यही शोषण की प्रवृत्ति चलने की संभावना है

हालाँकि इस वर्ष कई गंभीर कमज़ोरियाँ सामने आई हैं - जिनमें शामिल हैं सर्वव्यापी Apache Log4j भेद्यता (सीवीई-2021-44228) - 2021 की सबसे अधिक शोषित कमजोरियाँ 2022 में भी बहुत प्रचलित हैं, सैप्रोनोव कहते हैं, एक्सचेंज सर्वर बग से परे भी। उदाहरण के लिए, कैस्परस्की ने माइक्रोसॉफ्ट के MSHTML ब्राउज़र इंजन (CVE-2021-40444, पिछले सितंबर में पैच किया गया) में एक खामी की पहचान की। भेद्यता पर भारी हमला किया गया 2022 की दूसरी तिमाही में।

सैप्रोनोव कहते हैं, "एमएस एक्सचेंज सर्वर और लाइब्रेरी लॉग4जे जैसे लोकप्रिय सॉफ्टवेयर में कमजोरियों के कारण बड़ी संख्या में हमले हुए हैं।" "उद्यम ग्राहकों को हमारी सलाह पैच प्रबंधन मुद्दों पर बारीकी से ध्यान देने की है।"

पैचिंग को प्राथमिकता देने का समय

अन्य लोगों ने भेद्यता शोषण गतिविधि में समान वृद्धि देखी है। अप्रैल में, पालो ऑल्टो नेटवर्क्स की यूनिट 42 खतरा अनुसंधान टीम के शोधकर्ताओं ने नोट किया कि कैसे 31%, या लगभग तीन में से एक घटना, उन्होंने 2022 में उस बिंदु तक का विश्लेषण किया था जिसमें भेद्यता के कारनामे शामिल थे। उनमें से आधे से अधिक (55%) में, धमकी देने वाले अभिनेताओं ने प्रॉक्सीशेल को निशाना बनाया था। 

पालो अल्टो के शोधकर्ताओं ने यह भी पाया कि खतरा पैदा करने वाले तत्व आमतौर पर सीवीई की घोषणा के कुछ ही मिनटों बाद हाल ही में प्रकट दोष वाले सिस्टम को स्कैन करते हैं। एक उदाहरण में, उन्होंने F5 नेटवर्क उपकरण (CVE-2022-1388) में प्रमाणीकरण बाईपास दोष देखा, जिसे भेद्यता प्रकटीकरण के बाद पहले 2,552 घंटों में 10 बार लक्षित किया गया था।

शोषण के बाद की गतिविधि का पता लगाना कठिन है

कैस्परस्की के घटना-प्रतिक्रिया डेटा के विश्लेषण से पता चला है कि लगभग 63% मामलों में, हमलावर प्रारंभिक प्रवेश प्राप्त करने के बाद एक महीने से अधिक समय तक नेटवर्क में किसी का ध्यान नहीं जाने में कामयाब रहे। कई मामलों में, ऐसा इसलिए था क्योंकि हमलावरों ने डेटा एकत्र करने, विशेषाधिकार बढ़ाने और कमांड निष्पादित करने के लिए पावरशेल, मिमिकैट्ज़ और पीएसएक्सईसी जैसे वैध टूल और फ्रेमवर्क का उपयोग किया था। 

जब किसी को तुरंत उल्लंघन का पता चलता है, तो यह आमतौर पर इसलिए होता है क्योंकि हमलावरों ने स्पष्ट क्षति पहुंचाई है, जैसे कि रैंसमवेयर हमले के दौरान। सैप्रोनोव कहते हैं, "जब आपका डेटा एन्क्रिप्ट किया जाता है तो रैंसमवेयर हमले का पता लगाना आसान होता है, क्योंकि सेवाएं अनुपलब्ध हैं और आपके मॉनिटर पर फिरौती का नोट है।"

लेकिन जब लक्ष्य किसी कंपनी का डेटा होता है, तो हमलावरों को आवश्यक जानकारी इकट्ठा करने के लिए पीड़ित के नेटवर्क पर घूमने के लिए अधिक समय की आवश्यकता होती है। ऐसे मामलों में, हमलावर अधिक गुप्त और सावधानी से कार्य करते हैं, जिससे इस प्रकार के हमलों का पता लगाना कठिन हो जाता है। "ऐसे मामलों का पता लगाने के लिए, हम विस्तारित पहचान और प्रतिक्रिया (ईडीआर) जैसी टेलीमेट्री के साथ एक सुरक्षा उपकरण स्टैक को नियोजित करने और विरोधियों द्वारा उपयोग किए जाने वाले व्यापक उपकरणों का पता लगाने के लिए नियमों को लागू करने का सुझाव देते हैं," वे कहते हैं।

वल्कन साइबर के वरिष्ठ तकनीकी इंजीनियर माइक पार्किन का कहना है कि उद्यम संगठनों के लिए वास्तविक रास्ता यह है कि हमलावर नेटवर्क में सेंध लगाने के लिए किसी भी अवसर का लाभ उठाएंगे। 

वे कहते हैं, ''शोषण योग्य कमजोरियों की एक श्रृंखला के साथ, इसमें बढ़ोतरी देखना कोई आश्चर्य की बात नहीं है।'' उन्होंने कहा कि सामाजिक रूप से इंजीनियर किए गए क्रेडेंशियल हमलों की तुलना में कमजोरियों की संख्या अधिक है या नहीं, यह कहना मुश्किल है। 

“लेकिन मुख्य बात यह है कि धमकी देने वाले अभिनेता उन कारनामों का उपयोग करेंगे जो काम करते हैं। यदि किसी विंडोज सेवा पर कोई नया रिमोट कोड शोषण होता है, तो वे इसके पास आ जाएंगे और पैच आने या फ़ायरवॉल नियम लागू होने से पहले जितना संभव हो उतने सिस्टम का उल्लंघन करेंगे, ”वह कहते हैं।

असली चुनौती लंबी-पूंछ वाली कमजोरियां हैं: जो पुरानी हैं, जैसे प्रॉक्सीलॉगन, कमजोर सिस्टम के साथ जो छूट गए हैं या नजरअंदाज कर दिए गए हैं, पार्किन कहते हैं, पैचिंग को प्राथमिकता देना चाहिए।

समय टिकट:

से अधिक डार्क रीडिंग