Hoe nieuwe AI -agenten de vulaanvallen van de referenties zullen transformeren

Cyberbeveiliging
Hoe nieuwe AI -agenten de vulaanvallen van de referenties zullen transformeren

Referentie -vulaanvallen hadden een enorme impact in 2024, gevoed door een vicieuze cirkel van infontealerinfecties en datalekken. Maar het kan nog steeds erger worden met computer-gebruikelijke agenten, een nieuw soort AI-agent dat goedkope, lage-in-attractautomatisering van gemeenschappelijke webtaken mogelijk maakt-inclusief die die vaak door aanvallers worden uitgevoerd.

Gestolen referenties: het favoriete wapen van de cybercrimineel in 2024

Gestolen referenties waren de #1 aanvalleractie in 2023/24, en de inbreukvector voor 80% van de web -app -aanvallen. Niet verwonderlijk als je bedenkt dat miljarden gelekte referenties online in omloop zijn en aanvallers de laatste druppel kunnen ophalen voor slechts $ 10 op criminele forums.

De criminele marktplaats voor gestolen referenties profiteert van de publiciteit van spraakmakende inbreuken in 2024, zoals de aanvallen op sneeuwvlokklanten die referenties gebruiken die worden gevonden in dumps van data inbreuk en gecompromitteerde referenties van infostealer en massale phishing-campagnes, wat resulteerde in de compromis van 165 klanten van de klant en honderden gemiddelde miljoenen miljoenen miljoenen miljoenen miljoenen dekten van gemiddelde miljoenen miljoenen miljoenen miljoenen miljoenen miljoenen miljoenen miljoenen miljoenen deksels.

Maar ondanks dat 2024 een ongekend jaar is in termen van de impact van op identiteit gebaseerde aanvallen, is er nog steeds veel onvervuld potentieel voor aanvallers om te beseffen.

Credential Attack Automation – Wat is er veranderd met de verschuiving naar SaaS?

Brute forceren en referentievulling zijn niets nieuws en zijn al tientallen jaren een belangrijk onderdeel van de cyberaanvallers toolkit. Maar het is niet zo eenvoudig om automatisch referenties over systemen te spuiten zoals het ooit was.

Niet meer one-size-fits-all

In plaats van een enkel gecentraliseerd netwerk met apps en gegevens in een infrastructuurperimeter, is het bedrijf nu gevormd uit honderden webgebaseerde apps en platforms, waardoor duizenden identiteiten per organisatie worden gecreëerd.

Dit betekent dat ook identiteiten nu gedecentraliseerd en gedistribueerd zijn over het hele internet, in tegenstelling tot het uitsluitend worden opgeslagen in identiteitssystemen zoals Active Directory en geïmplementeerd met behulp van gemeenschappelijke protocollen en mechanismen.

Hoewel HTTP (s) standaard is, zijn moderne web-apps complex en sterk aangepast, met een grafisch aangedreven interface die elke keer anders is. En tot overmaat van ramp zijn moderne web -apps specifiek ontworpen om kwaadaardige automatisering te voorkomen door BOT -bescherming zoals CAPTCHA.

Dus in plaats van standaardprotocollen tegen te komen en in staat te zijn om een ​​enkele set tools te schrijven die u in elke organisatie/omgeving kunt gebruiken, bijvoorbeeld een DNS -scanner schrijft, gebruikt u een enkele poortscanner zoals NMAP voor het hele internet, schrijf een enkel script per service (bijv. FTP, SSH, SSH, Telnet, enz.

Het vinden van de naald in de hooiberg

Er zijn niet alleen meer omgevingen voor aanvallers om in het kader van hun aanval op te nemen, maar er zijn meer referenties om mee te werken.

Er zijn er rond 15 miljard gecompromitteerde referenties Beschikbaar op het openbare internet, exclusief die alleen gevonden in privékanalen/feeds. Deze lijst groeit de hele tijd-zoals 244m nooit eerder geziene wachtwoorden en 493m unieke website en e-mailadresparen die worden toegevoegd om te zijn, ben ik vorige maand van Infostealer-logboeken.

Dit klinkt eng, maar het is lastig voor aanvallers om deze gegevens te benutten. De overgrote meerderheid van deze referenties is oud en ongeldig. Uit een recent overzicht van TI-gegevens door push-beveiligingsonderzoekers bleek dat minder dan 1% van de gestolen referenties in bedreigingsinformatie-feeds van een multi-leveror-gegevensset bruikbaar was- Met andere woorden, 99% van de gecompromitteerde referenties waren valse positieven.

Maar ze zijn niet allemaal nutteloos – zoals de sneeuwvlokaanvallen hebben aangetoond, die met succes de referenties die dateren uit 2020 benutten. Er zijn dus duidelijk schatten die wachten om te worden ontdekt door aanvallers.

Aanvallers worden gedwongen prioriteit te geven

Het gedistribueerde karakter van apps en identiteiten, en de lage betrouwbaarheid van gecompromitteerde referentiegegevens, betekent dat aanvallers worden gedwongen prioriteit te geven-ondanks een doel-rijke omgeving van honderden zakelijke apps, waardoor duizenden uitgestrekte identiteiten per organisatie worden gecreëerd, omdat:

  • Het schrijven en uitvoeren van aangepaste Python -scripts voor elke enkele app (er zijn meer dan 40K SaaS -apps op internet) is niet realistisch. Zelfs als u de top 100 of 1000 zou doen, zou dat een belangrijke taak zijn en constant onderhoud vereisen, terwijl u nauwelijks het oppervlak van de totale kans krabt.
  • Zelfs wanneer volledig script en een botnet gebruiken om de aanval te verdelen en IP -blokkering te voorkomen, kunnen bedieningselementen zoals snelheidsbeperking, captcha en accountvergrendeling massa -referenties tegen een enkele app belemmeren. En een geconcentreerde aanval op een enkele site gaat aanzienlijk verkeersniveaus genereren als u 15 miljard wachtwoorden in een redelijk tijdsbestek wilt doorstaan, dus het is zeer waarschijnlijk dat het alarm wordt verhoogd.

So -aanvallers hebben dus de neiging om zich te richten op een kleiner aantal apps en zoeken alleen naar een directe match in termen van de geprobeerde referenties (bijv. De gestolen referentie moet rechtstreeks tot een account op de doel -app behoren). Wanneer ze achter iets nieuws gaan, is het meestal geconcentreerd op een specifiek app/platform (bijv. Snowflake) of op zoek naar een smallere subset van referenties (bijv. Referenties die duidelijk zijn geassocieerd met edge -apparaten, voor meer traditionele netwerkomgevingen).

Een gemiste kans?

Zoals we hebben vastgesteld, is de situatie met betrekking tot vulaanvallen in de referentie al behoorlijk slecht ondanks deze beperkingen. Maar dingen kunnen aanzienlijk erger zijn.

Wachtwoord hergebruik betekent dat een enkel gecompromitteerd account veel kan worden

Als aanvallers in staat waren om de schaal van hun aanvallen te vergroten om zich te richten op een breder aantal apps (in plaats van zich te concentreren op een shortlist van hoge waarde-apps), konden ze profiteren van al te veel-veel-gewone wachtwoord hergebruik. Volgens een recent onderzoek naar identiteitsgegevens, gemiddeld:

  • 1 op de 3 werknemers hergebruik wachtwoorden
  • 9% van de identiteiten heeft een hergebruikt wachtwoord en geen MFA
  • 10% van de IDP-accounts (gebruikt voor SSO) heeft een niet-uniek wachtwoord

Wat betekent dit? Als een gestolen referentie geldig is, is de kans groot dat deze kan worden gebruikt om toegang te krijgen tot meer dan één account, op meer dan één app (tenminste).

Stel je het scenario voor: Een recent gecompromitteerd referentie -lek van infontealer -infecties of phishing -campagnes van de referentie toont aan dat een bepaalde gebruikersnaam en wachtwoordcombinatie geldig is op een specifieke app – laten we zeggen Microsoft 365. Nu is dit account behoorlijk vergrendeld – niet alleen heeft het MFA, maar er zijn voorwaardelijke toegangsbeleid op zijn plaats die de IP/locatie bepert.

Meestal zou dit de aanval eindigen en je zou je aandacht op iets anders richten. Maar wat als u deze referenties in elke andere zakelijke app zou kunnen spuiten waar de gebruiker een account op heeft?

Referentie-aanvallen schalen met computer-gebruikelijke agenten

Tot nu toe is de impact van AI op identiteitsaanvallen beperkt tot het gebruik van LLMS voor het creëren van phishing-e-mails, in AI-geassisteerde malware-ontwikkeling en voor bots voor sociale media-ongetwijfeld belangrijk, maar niet precies transformerend, en dat constant menselijk toezicht en input vereist.

Maar met de lancering van OpenAI-operator, een nieuw soort “computer-gebruiksagent”, kan dit veranderen.

Operator is getraind op een gespecialiseerde dataset en geïmplementeerd in zijn eigen sandbox -browser, wat betekent dat het in staat is om gemeenschappelijke webtaken zoals een mens uit te voeren – zien en interactie met pagina’s als een mens zou doen.

In tegenstelling tot andere geautomatiseerde oplossingen, vereist de operator geen aangepaste implementatie of codering om te kunnen communiceren met nieuwe sites, waardoor het een veel schaalbare optie is voor aanvallers die een breed scala aan sites/apps willen richten.

Demo: Operator gebruiken om op schaal af te leggen vulaanvallen van referenties uit te voeren

Onderzoekers van Push Security zetten de kwaadaardige gebruikscases van operator op de test, met behulp van het:

  • Bepaal welke bedrijven een bestaande huurder hebben op een lijst met apps
  • Probeer in te loggen op verschillende app -huurders met een verstrekte gebruikersnaam en wachtwoord

https://www.youtube.com/watch?v=A_YJAFXPJMO

Samenvatting

De resultaten waren behoorlijk eye-opening. De operator demonstreerde duidelijk de mogelijkheid om een ​​lijst met apps met gecompromitteerde referenties te richten en in-app-acties uit te voeren. Denk nu aan deze x10, x100, x10.000 … Dit zijn geen complexe taken. Maar de waarde van de CUAS -operator is niet in het aanpakken van complexiteit, maar schaal. Stel je een wereld voor waar je operator Windows via API kunt orkestreren en deze tegelijkertijd kunt laten uitvoeren (functionaliteit die al bestaat voor chatgpt).

Maar dit is groter dan operator – het gaat om de richting van de technologie. OpenAI kan beperkingen implementeren-betere in-app-vangrails, rentelimieten voor het aantal gelijktijdige taken en totaal gebruik, enz. Maar u kunt garanderen dat het niet de enige CUA zal zijn-het is slechts een kwestie van tijd voordat vergelijkbare producten opkomen (misschien zelfs inherent kwaadaardige) die dezelfde technologie gebruiken.

Laatste gedachten

Het is nog steeds vroege dagen voor CUA Tech, maar er is een duidelijke indicatie dat een reeds ernstige beveiligingsuitdaging kan worden verergerd met deze specifieke vorm van AI-gedreven automatisering. Hoewel de mogelijkheid om zich te richten op een brede set apps, eerder buiten het bereik van traditionele automatisering is geweest, staat het op het punt veel toegankelijker te worden voor zelfs laaggeschoolde aanvallers (denk aan: volgende Gen Script Kiddies?).

Een andere manier om erover na te denken, is dat het een menselijke aanvaller effectief een vloot van stagiaires op laag niveau geeft die dat niet doen nogal Weet wat ze doen, maar kan worden geïnstrueerd om specifieke, gespecificeerde taken op schaal uit te voeren met alleen af ​​en toe inchecken – terwijl u werkt aan andere, complexere taken. Dus een beetje als een Red Team Manager van AI Bots.

Operator betekent dat aanvallers gecompromitteerde referenties op schaal kunnen benutten, profiteren van het grote aantal kwetsbare en verkeerd geconfigureerde identiteiten en ze veel gemakkelijker in systemische inbreuken omzetten. In zekere zin zou het de vulling van de referentie iets meer kunnen maken zoals het was vóór de verschuiving naar cloud -apps – waar je duizenden referenties over je doelen kon spuiten zonder elke keer aangepaste ontwikkeling te hebben.

Gelukkig zijn er geen nieuwe anti-AI-mogelijkheden vereist-maar het is belangrijker dan ooit dat organisaties proberen hun identiteitsaanvaloppervlak te verdedigen en identiteitskwetsbaarheden te vinden en vast te stellen voordat aanvallers van hen kunnen profiteren.

Lees meer

Als je meer wilt weten over identiteitsaanvallen en hoe je ze kunt stoppen, bekijk Push Security-je kunt een demo boeken of hun browsergebaseerde platform gratis uitproberen.

En als je ze wilt zien demo meer kwaadaardig gebruik van operator, bekijk dan dit on-demand webinar.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

De nieuwste Google Play-update is de droom van een widget-maniak die uitkomt

Pixel Sense Assistant die naar Google Pixel 10 komt, wordt het op de apparaat uitgevoerd

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]