کمزوری کے استحصال، فشنگ نہیں، ابتدائی سمجھوتہ پلیٹو بلاکچین ڈیٹا انٹیلی جنس کے لیے سرفہرست سائبر اٹیک ویکٹر ہیں۔ عمودی تلاش۔ عی

کمزوری کے استحصال، فشنگ نہیں، ابتدائی سمجھوتہ کے لیے سرفہرست سائبر اٹیک ویکٹر ہیں

ٹائم سٹیمپ: 8 ستمبر 2022 صبح 11:20 بجے

حالیہ برسوں میں فشنگ اور اسنادی سمجھوتہ پر مشتمل خلاف ورزیوں کو بہت زیادہ توجہ دی گئی ہے کیونکہ دھمکی دینے والے اداکاروں نے ٹارگٹڈ اور موقع پرستی دونوں حملوں کو انجام دینے کے لیے کتنی کثرت سے حربے استعمال کیے ہیں۔ لیکن اس کا مطلب یہ نہیں ہے کہ انٹرپرائز تنظیمیں کمزوری کی پیچیدگی پر اپنی توجہ کم کرنے کی متحمل ہوسکتی ہیں۔

اس ہفتے کاسپرسکی کی ایک رپورٹ میں پچھلے سال زیادہ ابتدائی مداخلتوں کی نشاندہی کی گئی تھی جس کے نتیجے میں انٹرنیٹ کا سامنا کرنے والی ایپلی کیشنز میں خرابی پر مبنی ای میلز اور سمجھوتہ شدہ اکاؤنٹس کی خلاف ورزیوں کے مقابلے میں کمزوریوں کا استحصال کیا گیا تھا۔ مل کر. اور کمپنی نے 2022 کی دوسری سہ ماہی کے دوران جو ڈیٹا اکٹھا کیا ہے اس سے پتہ چلتا ہے کہ اس سال بھی یہی رجحان چل رہا ہے۔

کاسپرسکی کا اس کے 2021 کا تجزیہ واقعہ کے جواب کے اعداد و شمار سے پتہ چلتا ہے کہ کمزوری کے استحصال سے متعلق خلاف ورزیاں 31.5 میں تمام واقعات کے 2020 فیصد سے بڑھ کر 53.6 میں 2021 فیصد تک پہنچ گئیں۔ اسی عرصے کے دوران، ابتدائی رسائی حاصل کرنے کے لیے سمجھوتہ کیے گئے اکاؤنٹس کے استعمال سے منسلک حملے 31.6 میں 2020 فیصد سے کم ہو کر 17.9 میں 23.7 فیصد رہ گئے۔ ٪ آخری سال. اسی مدت کے دوران فشنگ ای میلز کے نتیجے میں ہونے والی ابتدائی مداخلتیں 14.3% سے کم ہو کر XNUMX% ہو گئیں۔

ایکسچینج سرور کی خامیاں استحصال کے جنون کو ہوا دیتی ہیں۔

کاسپرسکی نے پچھلے سال استحصال کی سرگرمیوں میں اضافے کی وجہ ایکسچینج سرور کی متعدد اہم کمزوریوں سے منسلک ہے جن کا مائیکروسافٹ نے انکشاف کیا تھا، بشمول مارچ 2021 میں چار صفر دنوں کا سیٹ ProxyLogon کی خامیاں (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)۔ ایک ساتھ جکڑے جانے پر انہوں نے حملہ آوروں کو آن پریمیسس ایکسچینج سرورز پر مکمل ریموٹ کنٹرول حاصل کرنے کی اجازت دی۔ 

حملہ آوروں - جن میں چین سے منظم مجرمانہ گروہ اور ریاستی سرپرستی والے گروہ شامل تھے - نے فوری طور پر دسیوں ہزار کمزور ایکسچینج سرور سسٹم کا استحصال کیا اور اس سے پہلے کہ مائیکروسافٹ خامیوں کے لیے پیچ جاری کر سکتا ان پر ویب شیل گرائے۔ کمزوریوں نے اپنی ہر جگہ اور شدت کی وجہ سے کافی تشویش پیدا کی۔ یہاں تک کہ انہوں نے امریکی محکمہ انصاف کو ایف بی آئی کو غیر معمولی قدم اٹھانے کا اختیار دینے کا اشارہ کیا۔ ProxyLogon ویب شیلز کو فعال طور پر ہٹانا سیکڑوں تنظیموں سے تعلق رکھنے والے سرورز سے — زیادہ تر معاملات میں، بغیر کسی اطلاع کے۔

2021 میں استحصالی سرگرمی کو آگے بڑھانا بھی ایکسچینج سرور کی کمزوریوں کی ایک اور سہ رخی تھی۔ اجتماعی طور پر پراکسی شیل کا لیبل لگا ہوا ہے۔ (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523) جو حملہ آوروں نے رینسم ویئر کو چھوڑنے اور کاروباری ای میل سمجھوتہ (BEC) حملوں میں بڑے پیمانے پر استعمال کیا۔

کاسپرسکی کی گلوبل ایمرجنسی ریسپانس ٹیم کے سربراہ کونسٹنٹین ساپرونوف کا کہنا ہے کہ ایک سال سے زائد عرصے بعد، ProxyLogon اور ProxyShell کے خطرات بدستور استحصالی سرگرمیوں کا ہدف ہیں۔ ان خامیوں میں سے ایک شدید ترین خامی (CVE-2021-26855) کو بھی سب سے زیادہ نشانہ بنایا گیا ہے۔ Kaspersky نے کمزوری کا مشاہدہ کیا - ProxyLogon سیٹ کا ایک حصہ - تمام واقعات میں سے 22.7% میں اس کا استحصال کیا گیا جس میں 2021 میں اس نے جواب دیا، اور Sapronov کے مطابق، یہ خامی اس سال بھی حملہ آوروں میں پسندیدہ رہی۔

2022 میں اسی استحصالی رجحان کا امکان ہے۔

اگرچہ اس سال کئی سنگین خطرات سامنے آئے ہیں - بشمول ہر جگہ اپاچی لاگ 4 جے کا خطرہ (CVE-2021-44228) - 2021 کی سب سے زیادہ استحصال کی گئی کمزوریاں 2022 میں بھی بہت زیادہ پائی جاتی ہیں، Sapronov کہتے ہیں، یہاں تک کہ ایکسچینج سرور کی خرابیوں سے بھی آگے۔ مثال کے طور پر، کاسپرسکی نے مائیکروسافٹ کے ایم ایس ایچ ٹی ایم ایل براؤزر انجن (CVE-2021-40444، جو پچھلے ستمبر میں پیچ کیا گیا) میں سب سے زیادہ خرابی کی نشاندہی کی۔ کمزوری پر شدید حملہ کیا۔ 2022 کی دوسری سہ ماہی میں۔

"مشہور سافٹ ویئر جیسے ایم ایس ایکسچینج سرور اور لائبریری Log4j میں کمزوریوں کے نتیجے میں بہت زیادہ حملے ہوئے ہیں،" Sapronov نوٹ کرتا ہے۔ "انٹرپرائز صارفین کو ہمارا مشورہ یہ ہے کہ پیچ مینجمنٹ کے مسائل پر پوری توجہ دیں۔"

پیچنگ کو ترجیح دینے کا وقت

دوسروں نے کمزوری کے استحصال کی سرگرمی میں اسی طرح کی بڑھتی ہوئی واردات کو نوٹ کیا ہے۔ اپریل میں، پالو آلٹو نیٹ ورکس کے یونٹ 42 خطرے کی تحقیقی ٹیم کے محققین نے نوٹ کیا کہ کس طرح 31 فیصد، یا تقریباً تین واقعات میں سے ایک، انہوں نے 2022 میں اس وقت تک تجزیہ کیا تھا جس میں کمزوری کے استحصال شامل تھے۔ ان میں سے نصف سے زیادہ (55٪) میں، دھمکی دینے والے اداکاروں نے پراکسی شیل کو نشانہ بنایا تھا۔ 

پالو آلٹو کے محققین نے یہ بھی پایا کہ دھمکی دینے والے اداکار عام طور پر CVE کے اعلان کے چند منٹ بعد صرف انکشاف شدہ خامی کے ساتھ سسٹمز کو اسکین کرتے ہیں۔ ایک مثال میں، انہوں نے F5 نیٹ ورک اپلائنس (CVE-2022-1388) میں ایک توثیقی بائی پاس خامی کا مشاہدہ کیا جسے خطرے کے انکشاف کے بعد پہلے 2,552 گھنٹوں میں 10 بار نشانہ بنایا گیا۔

استحصال کے بعد کی سرگرمی اسپاٹ کے لیے مشکل ہے۔

کیسپرسکی کے اپنے واقعے کے ردعمل کے اعداد و شمار کے تجزیے سے پتہ چلتا ہے کہ تقریباً 63% مقدمات میں، حملہ آور ابتدائی اندراج حاصل کرنے کے بعد ایک ماہ سے زیادہ عرصے تک کسی نیٹ ورک میں کسی کا دھیان نہیں رہنے میں کامیاب رہے۔ بہت سے معاملات میں، اس کی وجہ یہ تھی کہ حملہ آوروں نے ڈیٹا اکٹھا کرنے، مراعات کو بڑھانے، اور کمانڈز کو انجام دینے کے لیے جائز ٹولز اور فریم ورک جیسے PowerShell، Mimikatz، اور PsExec کا استعمال کیا۔ 

جب کسی نے فوری طور پر خلاف ورزی کا نوٹس لیا، تو یہ عام طور پر تھا کیونکہ حملہ آوروں نے واضح نقصان پہنچایا تھا، جیسے کہ رینسم ویئر حملے کے دوران۔ Sapronov کہتے ہیں، "جب آپ کا ڈیٹا انکرپٹ ہوتا ہے تو رینسم ویئر کے حملے کا پتہ لگانا آسان ہے، کیونکہ سروسز دستیاب نہیں ہیں، اور آپ کے مانیٹر پر تاوان کا نوٹ موجود ہے۔"

لیکن جب ہدف کمپنی کا ڈیٹا ہوتا ہے، حملہ آوروں کو ضروری معلومات جمع کرنے کے لیے متاثرہ کے نیٹ ورک کے گرد گھومنے کے لیے زیادہ وقت درکار ہوتا ہے۔ ایسے معاملات میں، حملہ آور زیادہ چپکے سے اور احتیاط سے کام کرتے ہیں، جس کی وجہ سے اس قسم کے حملوں کا پتہ لگانا مشکل ہو جاتا ہے۔ "اس طرح کے معاملات کا پتہ لگانے کے لیے، ہم ایک سیکورٹی ٹول اسٹیک کو استعمال کرنے کی تجویز کرتے ہیں جس میں توسیعی پتہ لگانے اور رسپانس (EDR) جیسی ٹیلی میٹری ہے اور مخالفوں کے ذریعے استعمال کیے جانے والے وسیع ٹولز کا پتہ لگانے کے لیے قوانین کو لاگو کریں،" وہ کہتے ہیں۔

ولکن سائبر کے سینئر ٹیکنیکل انجینئر مائیک پارکن کا کہنا ہے کہ انٹرپرائز تنظیموں کے لیے اصل راستہ یہ ہے کہ حملہ آور نیٹ ورک کی خلاف ورزی کرنے کے لیے جو بھی موقع حاصل کر سکتے ہیں استعمال کریں گے۔ 

"استعمال کرنے والے کمزوریوں کی ایک رینج کے ساتھ، یہ اضافہ دیکھنا کوئی تعجب کی بات نہیں ہے،" وہ کہتے ہیں۔ وہ نوٹ کرتے ہیں کہ آیا سماجی طور پر انجینئرڈ کریڈینشل حملوں کے مقابلے میں کمزوریوں کی تعداد زیادہ ہے، یہ کہنا مشکل ہے۔ 

"لیکن سب سے اہم بات یہ ہے کہ اداکار ان کارناموں کو استعمال کریں گے جو کام کرتے ہیں۔ اگر کچھ ونڈوز سروس پر ایک نیا ریموٹ کوڈ استحصال ہے، تو وہ اس کی طرف لپکیں گے اور پیچ کے باہر آنے یا فائر وال کے قوانین کے تعینات ہونے سے پہلے زیادہ سے زیادہ سسٹمز کی خلاف ورزی کریں گے،" وہ کہتے ہیں۔

اصل چیلنج لمبی دم کی کمزوریاں ہیں: وہ جو پرانے ہیں، جیسے ProxyLogon، کمزور سسٹمز کے ساتھ جو چھوٹ گئے ہیں یا نظر انداز کر دیے گئے ہیں، پارکن کہتے ہیں، انہوں نے مزید کہا کہ پیچ کرنا ایک ترجیح ہونی چاہیے۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا