بررسی راهکارهای Symantec در جلوگیری از نفوذ در API مایکروسافت

افزایش تهدیدات Microsoft API مایکروسافت و راهکار سیمانتک

تعداد فزاینده‌ تهدیدات با نفوذ در Microsoft API مایکروسافت

ای پی آی Graph API اغلب برای ارتباطات نامحسوس با سرورهای فرمان و کنترل مبتنی بر Cloud مورد استفاده قرار می‌گیرد.

تعداد فزاینده‌ای از تهدیدات شروع به استفاده از Microsoft Graph API کرده‌اند که معمولاً برای تسهیل ارتباطات با زیرساخت فرماندهی و کنترل (C&C) میزبانی شده در سرویس‌های ابری مایکروسافت می باشد.

این تکنیک اخیراً در حمله به سازمانی در اوکراین مورد استفاده قرار گرفت، جایی که یک بدافزار غیرقانونی قبلاً از Graph API برای استفاده از Microsoft OneDrive برای اهداف C&C استفاده کرد.

بد افزار BirdyClient

بدافزار یافت شده در اوکراین ظاهراً توسط توسعه دهندگانش BirdyClient یا OneDriveBirdyClient نامگذاری شده است زیرا ارجاعاتی به هر دو نام در کد آن یافت شده است. نام فایل آن-vxdiff.dll- مانند یک DLL قانونی مرتبط با برنامه ای به نام Apoint (apoint.exe) بود که نرم افزار درایور دستگاه های اشاره گر Alps است که معمولاً در لپ تاپ ها یافت می شود. این که آیا بدافزار به سادگی به عنوان یک فایل قانونی مخفی شده است یا اینکه توسط Apoint بارگذاری شده است، ناشناخته باقی مانده است! و این بدترین اتفاق ممکن برای کاربر می تواند باشد.

تجزیه و تحلیل بدافزار BirdyClient (Trojan.BirdyClient) نشان داد که عملکرد اصلی آن اتصال به Microsoft Graph API و استفاده از Microsoft OneDrive به عنوان مکانیزم سرور C&C برای آپلود و دانلود فایل ها از آن است. نمونه همچنین فایل لاگ زیر را ایجاد می کند:

%AllUsersProfile%/{0134AA2C-03BE-448D-8D28-7FFE94EA3A49}/config/001.temp

تا به امروز هیچ ارگان و سازمانی مرتبط با این نفوذ پیدا نشده است. هنوز مشخص نیست که توسعه دهندگان این تهدید چه کسانی هستند و انگیزه آنها چیست.

Graph API چیست؟

Graph یک API مایکروسافت است که به توسعه‌دهندگان اجازه می‌دهد به منابع میزبانی شده در سرویس‌های ابری مایکروسافت مانند Microsoft 365 دسترسی داشته باشند. احراز هویت با استفاده از نشانه‌های دسترسی OAuth انجام می‌شود.

این ساختار می تواند برای دسترسی به طیف گسترده ای از داده ها و خدمات مانند ایمیل، رویدادهای از پیش طراحی شده، فایل ها یا دستگاه ها استفاده شود. توسعه دهندگان برنامه به طور بالقوه می توانند از آن برای استخراج داده ها از یک یا چند سرویس مایکروسافت و ادغام آن در راه حل های خود استفاده کنند.

استفاده پیشگامانه سیمانتک در جلوگیری از نفوذ

BirdyClient آخرین تهدیدی است که از Graph API استفاده می کند. اولین استفاده شناخته شده توسط گروه جاسوسی Vedalia مرتبط با کره شمالی (معروف به APT37) بود که Bluelight را توسعه داد، یک سرویس پیشرفته که می توانست با چندین سرویس ابری مختلف برای اهداف C&C ارتباط برقرار کند. به گفته Volexity، که Bluelight را کشف کرد، نوع مورد تجزیه و تحلیل از Graph API برای برقراری ارتباط با OneDrive استفاده کرد.

در اکتبر 2021، سیمانتک Symatec گروه هاروستر را که یک عملیات جاسوسی مورد حمایت دولت ملت بود، کشف کرد که سازمان‌هایی را در جنوب آسیا هدف قرار می‌داد. مجموعه ابزار آن شامل یک راه نفوذ سفارشی به نام Backdoor.Graphon بود که از Graph API برای برقراری ارتباط با زیرساخت های مایکروسافت برای اهداف C&C استفاده می کرد.

این تکنیک در ژانویه 2022 با کشف Graphite ، بدافزاری که از Graph API برای برقراری ارتباط با حساب OneDrive که به عنوان یک سرور C&C عمل می‌کرد، بیشتر مورد توجه عموم قرار گرفت.

Graphite در یک کمپین علیه چندین دولت در اروپا و آسیا به کار گرفته شد. حملات با ایمیل‌های فیشینگ نیزه‌ای شروع شد که یک دانلودکننده اکسل حاوی یک اکسپلویت اجرای کد از راه دور (CVE-2021-40444) را تحویل می‌داد. این منجر به نصب یک دانلودر مرحله دوم و سپس Graphite و یک بار ثانویه - PowerShell Empire شد.

تجربه ثابت کرده است، استفاده از آنتی ویروس های سیمانتک مانند Symantec Endpoint Protection و استفاده از ماژول EDR می تواند، جلوی نفوذگران و سوء استفاده کنندگاه از API های سازمان را گرفته و مانع از هک و دسترسی اطلاعات در سازمان شوند. باکارشناسان آلما شبکه در تماس باشید.