Apa Itu dan Bagaimana Anda Dapat Melindungi Diri Anda darinya

  • Whatsapp
GIFShell Attack
Apa Itu dan Bagaimana Anda Dapat Melindungi Diri Anda darinya

News.nextcloud.asia –

Serangan GIF

Organisasi dan tim keamanan bekerja untuk melindungi diri mereka sendiri dari kerentanan apa pun, dan sering kali tidak menyadari bahwa risiko juga disebabkan oleh konfigurasi di aplikasi SaaS mereka yang belum diperkuat. Metode serangan GIFShell yang baru diterbitkan, yang terjadi melalui Microsoft Teams, adalah contoh sempurna tentang bagaimana pelaku ancaman dapat mengeksploitasi fitur dan konfigurasi sah yang belum disetel dengan benar. Artikel ini membahas apa yang diperlukan metode dan langkah-langkah yang diperlukan untuk memeranginya.

Metode Serangan GifShell

Ditemukan oleh Bobby Rauch, teknik serangan GIFShell memungkinkan pelaku jahat untuk mengeksploitasi beberapa fitur Microsoft Teams untuk bertindak sebagai C&C untuk malware, dan mengekstrak data menggunakan GIF tanpa terdeteksi oleh EDR dan alat pemantauan jaringan lainnya. Metode serangan ini membutuhkan perangkat atau pengguna yang sudah disusupi.

Pelajari bagaimana SSPM dapat menilai, memantau, dan memulihkan kesalahan konfigurasi SaaS dan risiko pengguna Perangkat-ke-SaaS.

Komponen utama serangan ini memungkinkan penyerang untuk membuat shell terbalik yang mengirimkan perintah berbahaya melalui GIF yang disandikan base64 di Teams, dan mengekstrak output melalui GIF yang diambil oleh infrastruktur Microsoft sendiri.

Bagaimana cara kerjanya?

  • Untuk membuat shell terbalik ini, penyerang harus terlebih dahulu mengkompromikan komputer untuk menanam malware — yang berarti pelaku jahat perlu meyakinkan pengguna untuk menginstal a pelaku jahatseperti halnya phishing, yang menjalankan perintah dan mengunggah keluaran perintah melalui url GIF ke kait web Microsoft Teams.
  • Setelah stager terpasang, pelaku ancaman membuat penyewa Microsoft Teams mereka sendiri dan menghubungi pengguna Microsoft Teams lain di luar organisasi.
  • Pelaku ancaman kemudian dapat menggunakan Skrip Python GIFShell untuk mengirim pesan ke pengguna Microsoft Teams yang berisi GIF yang dibuat khusus. Gambar GIF yang sah ini telah dimodifikasi untuk menyertakan perintah untuk dijalankan pada mesin target.
  • Saat target menerima pesan, pesan dan GIF akan disimpan di log Microsoft Team. Penting untuk diperhatikan: Microsoft Teams berjalan sebagai proses latar belakang, sehingga GIF bahkan tidak perlu dibuka oleh pengguna untuk menerima perintah penyerang untuk dieksekusi.
  • Stager memantau log Teams dan ketika menemukan GIF, ia mengekstrak dan menjalankan perintah.
  • Server Microsoft akan terhubung kembali ke URL server penyerang untuk mengambil GIF, yang diberi nama menggunakan output yang disandikan base64 dari perintah yang dijalankan.
  • Server GIFShell yang berjalan di server penyerang akan menerima permintaan ini dan secara otomatis mendekode data yang memungkinkan penyerang melihat output dari perintah yang dijalankan pada perangkat korban.

tanggapan Microsoft

Sebagai dilaporkan oleh Lawrence Abrams di BleepingComputer, Microsoft setuju bahwa metode serangan ini merupakan masalah, namun “tidak memenuhi standar untuk perbaikan keamanan yang mendesak.” Mereka “mungkin mengambil tindakan dalam rilis mendatang untuk membantu mengurangi teknik ini.” Microsoft mengakui penelitian ini tetapi menegaskan bahwa tidak ada batasan keamanan yang dilewati.

Sementara Rauch mengklaim bahwa memang “dua kerentanan tambahan ditemukan di Microsoft Teams, kurangnya penegakan izin dan spoofing lampiran”, Microsoft berpendapat, “Untuk kasus ini … ini semua adalah pasca eksploitasi dan bergantung pada target yang sudah dikompromikan.” Microsoft menegaskan bahwa teknik ini menggunakan fitur yang sah dari platform Teams dan bukan sesuatu yang dapat mereka mitigasi saat ini.

Sesuai dengan pernyataan Microsoft, memang inilah tantangan yang dihadapi banyak organisasi — ada konfigurasi dan fitur yang dapat dimanfaatkan oleh pelaku ancaman jika tidak diperkuat. Beberapa perubahan pada konfigurasi penyewa Anda dapat mencegah serangan masuk ini dari penyewa Teams yang tidak dikenal.

Bagaimana Melindungi Terhadap Serangan GIFShell

Ada konfigurasi keamanan di dalam Microsoft yang, jika diperkuat, dapat membantu mencegah jenis serangan ini.

1 — Nonaktifkan Akses Eksternal: Microsoft Teams, secara default, memungkinkan semua pengirim eksternal mengirim pesan ke pengguna dalam penyewa tersebut. Banyak admin organisasi mungkin bahkan tidak menyadari bahwa organisasi mereka mengizinkan kolaborasi Tim Eksternal. Anda dapat mengeraskan konfigurasi ini:

Serangan GIF
Gambar 1: Konfigurasi Akses Eksternal Microsoft Teams
  • Nonaktifkan akses domain eksternal — Mencegah orang di organisasi Anda menemukan, menelepon, mengobrol, dan menyiapkan rapat dengan orang di luar organisasi Anda di domain mana pun. Meskipun tidak semulus proses seperti melalui Teams, ini melindungi organisasi dengan lebih baik dan sepadan dengan usaha ekstra.
  • Nonaktifkan tim eksternal yang tidak terkelola memulai percakapan — Blokir pengguna Teams di organisasi Anda agar tidak berkomunikasi dengan pengguna Teams eksternal yang akunnya tidak dikelola oleh organisasi.

2 — Dapatkan Wawasan Inventaris Perangkat: Anda dapat memastikan seluruh perangkat organisasi Anda sepenuhnya sesuai dan aman dengan menggunakan solusi XDR / EDR / Manajemen Kerentanan, seperti Crowdstrike atau Tenable. Alat keamanan titik akhir adalah garis pertahanan pertama Anda terhadap aktivitas mencurigakan seperti mengakses folder log tim lokal perangkat yang digunakan untuk eksfiltrasi data di GIFShell.

Anda bahkan dapat melangkah lebih jauh dan mengintegrasikan solusi SSPM (SaaS Security Posture Management), seperti Adaptive Shield, dengan alat keamanan titik akhir Anda untuk mendapatkan visibilitas dan konteks guna dengan mudah melihat dan mengelola risiko yang berasal dari jenis konfigurasi ini, SaaS Anda pengguna, dan perangkat terkaitnya.

Cara Mengotomatiskan Perlindungan Terhadap Serangan Ini

Ada dua metode untuk memerangi kesalahan konfigurasi dan memperkuat pengaturan keamanan: deteksi dan perbaikan manual atau solusi SaaS Security Posture Management (SSPM) otomatis. Dengan banyaknya konfigurasi, pengguna, perangkat, dan ancaman baru, metode manual menguras sumber daya secara tidak berkelanjutan, membuat tim keamanan kewalahan. Namun, solusi SSPM, seperti Perisai Adaptif, memungkinkan tim keamanan untuk mendapatkan kontrol penuh atas aplikasi dan konfigurasi SaaS mereka. SSPM yang tepat mengotomatiskan dan menyederhanakan proses pemantauan, deteksi, dan perbaikan untuk kesalahan konfigurasi SaaS, akses SaaS-ke-SaaS, IAM terkait SaaS, dan risiko pengguna Perangkat-ke-SaaS sesuai dengan standar industri dan perusahaan.

Dalam kasus seperti metode serangan GifShell, fitur manajemen kesalahan konfigurasi Adaptive Shield memungkinkan tim keamanan untuk terus menilai, memantau, mengidentifikasi, dan memperingatkan ketika ada kesalahan konfigurasi (lihat gambar 1). Kemudian mereka dapat dengan cepat memulihkan melalui sistem atau menggunakan sistem tiket pilihan untuk mengirim detail terkait untuk perbaikan cepat.

Serangan GIF
Gambar 2. Tampilan Lanskap SaaS App Hygiene

Demikian pula, fitur Inventaris Perangkat Adaptive Shield (lihat pada gambar 2) dapat memantau perangkat yang digunakan di seluruh perusahaan dan menandai risiko Perangkat-ke-SaaS apa pun sambil menghubungkan informasi tersebut dengan peran dan izin pengguna dan aplikasi SaaS yang digunakan. Hal ini memungkinkan tim keamanan untuk mendapatkan pandangan holistik tentang postur perangkat pengguna untuk melindungi dan mengamankan perangkat berisiko tinggi yang dapat berfungsi sebagai ancaman kritis di lingkungan SaaS mereka.

Serangan GIF
Gambar 3. Inventaris Perangkat

Pelajari lebih lanjut tentang bagaimana Adaptive Shield SSPM dapat melindungi ekosistem aplikasi SaaS Anda.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.