ایران‌هک را در شبکه‌های اجتماعی دنبال کنید

گروه سایبری ایران هک

120

آمریکا, امنیت, شبکه, وصله امنیتی

داغ

شناسایی سوءاستفاده از Azure Managed Identities با تکنیک‌های نوین شکار تهدید

125نمایش

کارشناسان امنیت سایبری از تکنیک‌های پیشرفته‌ای برای شناسایی سوءاستفاده از هویت‌های مدیریت‌شده در Azure (Managed Identities) پرده برداشتند؛ موضوعی حیاتی که در بسیاری از محیط‌های ابری نادیده گرفته می‌شود.

Managed Identity در Azure، مدیریت اعتبارنامه را خودکار و ایمن‌تر می‌کند و نیاز به ذخیره رمز یا کلیدهای ثابت را حذف می‌نماید. با این حال، این قابلیت راحتی باعث ایجاد بردارهای حمله جدیدی می‌شود که مهاجمان پیشرفته می‌توانند از آن برای افزایش سطح دسترسی و دستیابی به منابع حساس استفاده کنند.

⚠️ تهدیدی پنهان در هویت‌های معتبر

با رواج استفاده از MI در سرویس‌های Azure، سطح حمله‌ای در حال رشد ایجاد شده که امکان چرخش در محیط‌های مختلف، دسترسی به Microsoft Graph، و استخراج داده‌های حساس را برای مهاجم فراهم می‌سازد.

پژوهشگران Team Axon در مقاله‌ای جامع، تمرکز خود را بر شناسایی دسترسی غیرمجاز و رفتار مخرب MIها گذاشته‌اند، نه صرفاً وجود آن‌ها.

این تحقیق بر پایه‌ سخنرانی Karl Fossaen در DEF CON 32 با عنوان “Identity Theft is Not a Joke, Azure!” بنا شده که پیش‌تر مسیرهای سوءاستفاده از MI را مطرح کرده بود.

🔍 معرفی ۱۲ کوئری تخصصی شکار تهدید

در این تحقیق، ۱۲ کوئری پیشرفته برای شناسایی سوءاستفاده از Managed Identities ارائه شده است. این کوئری‌ها شامل:

  • شناسایی درخواست‌های صریح توکن از ماشین‌های مجازی

  • تحلیل‌های رفتاری برای شناسایی دسترسی‌های غیرعادی یا الگوهای عجیب احراز هویت

  • شناسایی استفاده غیرمجاز از Microsoft Graph API توسط MIهای به‌خطر افتاده

🎯 مثال برجسته: تشخیص فعالیت شناسایی (Enumeration) در Microsoft Graph

یکی از تکنیک‌های برجسته، تشخیص زمانی است که MI با تعداد زیاد درخواست به endpointهای Microsoft Graph در بازه زمانی کوتاه، رفتار شناسایی‌گر نشان می‌دهد — نشانه‌ای از دسترسی غیرمجاز به توکن‌ها توسط مهاجم.

نمونه کوئری SQL (قابل اجرا در Snowflake):

WITH graph_enum_activity AS (
SELECT MIN(time) AS min_event_time,
MAX(time) AS max_event_time,
user_principal_object_id,
ARRAY_AGG(DISTINCT request_uri) AS distinct_request_uris,
COUNT(*) AS amount_of_requests
FROM RAW.MICROSOFT_GRAPH_ACTIVITY_LOGS
WHERE request_method = ‘GET’
GROUP BY user_principal_object_id, hour_of_events
HAVING amount_of_requests > 60
AND amount_of_endpoint_base > 5
AND amount_of_request_uris > 30
)

🔎 این کوئری الگوهای مشکوک دسترسی به Graph API را با بررسی رفتارهای پرتکرار و غیرعادی در یک بازه زمانی مشخص شناسایی می‌کند.

🛡️ راهکارهای بعد از کشف تهدید

تحقیق ارائه‌شده همچنین شامل دستورالعمل‌های عملی برای تحقیقات حادثه و پاسخ به نفوذ است، از جمله:

  • همبست‌سازی لاگ‌های Sign-in، Activity و Telemetry

  • ردیابی کامل چرخه حمله و میزان نفوذ

  • مقایسه رفتارهای MI با الگوهای نرمال برای جداسازی موارد مخرب

, , , , , , , , , , , , , , , ,

دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

120

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

ورود به اسایت

Captcha!
Forgot password?

رمز را فراموش کردم

Back to
ورود به اسایت