در چند سال گذشته، خودکار کردن کارهای روزمره سادهتر شده است. با استفاده از نرمافزار اتوماسیون، میتوانید ساعات کاری خود را در صفحهگسترده ردیابی کنید یا زمانی که شخصی از شما در ایمیل نام میبرد، بهطور خودکار یک مورد از فهرست کارها را ایجاد کنید. ابزارها میتوانند زندگی شما را آسانتر کنند، اما خطراتی را نیز به همراه دارند. ویندوز ۱۱
یک محقق امنیتی راهی برای ربودن ابزار اتوماسیون نرم افزاری مایکروسافت برای ارسال باج افزار به ماشینهای متصل و سرقت دادهها از دستگاهها یافته است.
مایکل بارگوری، موسس و مدیر ارشد فناوری شرکت امنیتی Zenity که پشت این کار است، گفت: این حمله از ابزار اتوماسیون، همان طور که طراحی شده است، استفاده میکند؛ اما به جای ارسال اقدامات قانونی، میتوان از آن برای استقرار بدافزار استفاده کرد.
بارگوری گفت: تحقیق من نشان داد که شما بهعنوان یک مهاجم میتوانید به راحتی از تمام این زیرساختها استفاده کنید تا دقیقا همان کاری را که قرار است انجام دهد، انجام دهید. شما از آن برای اجرای محمولههای خود به جای محمولههای سازمانی استفاده میکنید.
این حمله مبتنی بر Power Automate مایکروسافت است. یک ابزار اتوماسیون که در ویندوز ۱۱ تعبیه شده است. Power Automate از نوعی اتوماسیون فرآیند روباتیک استفاده میکند که به عنوان RPA نیز شناخته میشود که در آن رایانه از اقدامات انسان برای تکمیل وظایف تقلید میکند. اگر میخواهید هر بار که فید RSS بهروزرسانی میشود، یک اعلان دریافت کنید، میتوانید یک فرآیند RPA سفارشی برای تحقق آن ایجاد کنید. هزاران مورد از این اتوماسیونها وجود دارد و نرم افزار مایکروسافت میتواند Outlook، Teams، Dropbox و سایر برنامهها را به هم مرتبط کند.
این نرمافزار بخشی از یک جنبش گستردهتر کمکد/بدون کد است که هدف آن ایجاد ابزارهایی است که افراد میتوانند از آن برای ایجاد مواردی بدون داشتن دانش کدنویسی استفاده کنند.
تحقیقات بارگوری از موقعیتی شروع میشود که در آن یک هکر قبلا به رایانه شخصی دسترسی پیدا کرده است؛ چه از طریق فیشینگ و چه از طریق یک تهدید داخلی.
هنگامی که یک مهاجم به رایانه دسترسی پیدا میکند، باید چند مرحله اضافی را برای سوء استفاده از تنظیمات RPA انجام دهد؛ اما اینها نسبتا ساده هستند.
بارگوری که کل فرآیند را Power Pwn نامیده و در حال مستندسازی آن در GitHub است، گفت: این جا هک زیاد نیست. یک مهاجم ابتدا باید یک حساب ابری مایکروسافت که به عنوان مستاجر شناخته میشود، راهاندازی کرده و آن را طوری تنظیم کند که کنترلهای مدیریتی بر روی ماشینهایی که به او اختصاص داده میشود، داشته باشد. این اساسا به حساب مخرب اجازه میدهد تا فرآیندهای RPA را در دستگاه کاربر نهایی اجرا کند. در دستگاهی که قبلا در معرض خطر قرار گرفته بود، اکنون تنها کاری که یک هکر باید انجام دهد این است که آن را به حساب مدیریت جدید اختصاص دهد، این کار با استفاده از یک خط فرمان ساده به نام ثبت نام خاموش انجام میشود.
بارگوری گفت: هنگامی که این کار را انجام دادید، یک URL دریافت خواهید کرد که به شما به عنوان یک مهاجم امکان ارسال محمولهها را به دستگاه میدهد. قبل از سخنرانی خود در DefCon، او چندین نسخه نمایشی ایجاد کرد که نشان میداد چگونه میتوان از Power Automate برای خروج باجافزار به ماشینهای آسیبدیده استفاده کرد. دموهای دیگر نشان میدهند که چگونه یک مهاجم میتواند توکنهای احراز هویت را از یک ماشین بدزدد.
او گفت: شما میتوانید از طریق این تونل قابل اعتماد، دادهها را خارج از شبکههای شرکتی استخراج کنید، میتوانید کی لاگر بسازید یا اطلاعات را از کلیپ بورد گرفته و مرورگر را کنترل کنید.
سخنگوی مایکروسافت پتانسیل این حمله را کم اهمیت جلوه داد و اشاره کرد که قبل از استفاده از یک حساب، مهاجم باید به آن دسترسی داشته باشد. هیچ مکانیزمی وجود ندارد که به وسیله آن یک دستگاه کاملا به روز شده با محافظتهای آنتی ویروس از راه دور با استفاده از این تکنیک به خطر بیفتد. این تکنیک بر یک سناریوی فرضی متکی است که در آن یک سیستم از قبل در معرض خطر یا مستعد به خطر افتادن با استفاده از تکنیکهای موجود مانند مهندسی اجتماعی هم برای حمله اولیه و هم برای هر حمله بعدی شبکه است.
به گفته بارگوری شناسایی این نوع حمله ممکن است سخت باشد؛ زیرا از سیستمها و فرآیندهای رسمی در سراسر آن استفاده میکند. وقتی به معماری فکر میکنید، این یک ابزار اجرای کد از راه دور است که توسط مایکروسافت ساخته شده و در تمام طول مسیر توسط مایکروسافت امضا شده است.
بارگوری گفت که قبل از سخنرانی او در DefCon، تیم مایکروسافت با او تماس گرفته و اشاره کرده اند که مدیران شبکههای تجاری میتوانند با «افزودن یک ورودی رجیستری» به دستگاههای خود دسترسی به ابزارهای Power Automate را محدود کنند. این فرآیند کنترلهایی را بر روی انواع حسابهایی که میتوانند به Power Automate وارد شوند، اعمال میکند؛ بنابراین احتمال سوء استفاده از سیستم را کاهش میدهد.
با این حال بارگوری گفت: برای موفقیتآمیز بودن، این حرکت به تیمهای امنیتی متکی است که سیاستهای منسجم و روشنی را در سراسر سازمانهای خود داشته باشند که همیشه این طور نیست.
در حالی که محبوبیت ابزارهای RPA در حال افزایش است، قبلا حملاتی در دنیای واقعی برای سوء استفاده از پلتفرمها طراحی شدهاند. در اوایل سال ۲۰۲۰، تیم امنیتی مایکروسافت شش گروه هکر از جمله یک APT چینی را در شبکه یک شرکت پیدا کرد. یکی از گروههای هکر از سیستمهای خودکار برای حذف دادهها استفاده کرد.
مایکروسافت در گزارش حادثه نوشت: “در اقدامی غیر معمول، مهاجم از سیستمهای موجود مشتری، از جمله eDiscovery، ویژگی Compliance Search و Microsoft Flow برای سرقت خودکار نتایج جست و جوی خود استفاده کرد.”