كان من المفترض أن يقلل OAuth المخاطر. تُظهر هذه الحالة كيف يمكن أن يصبح هو الغنيمة
أداة .NET مُبلّغ عنها ومرتبطة بـ ToddyCat تحوّل مسار الموافقة في Google إلى طريق للوصول، ما يوضح لماذا أصبح إساءة استخدام الرموز المميزة ضمن قائمة التحقق لكل مدافع.
لا يبدأ اختراق صندوق بريد حديث دائمًا بكلمة مرور مسروقة. في هذه الحالة، يُقال إن أداة قائمة على .NET تُدعى Umbrij تقوم بأتمتة الوصول إلى Gmail عبر إساءة استخدام عملية التفويض OAuth من Google والحصول على رموز وصول. وهذا مهم لأن الوصول القائم على الرموز المميزة قد يبدو مختلفًا تمامًا عن سرقة بيانات الاعتماد التقليدية، سواء بالنسبة إلى المهاجمين أو المدافعين.
حقائق سريعة
- يُوصف Umbrij بأنه أداة قائمة على .NET مرتبطة بـ ToddyCat APT.
- تركز التقنية على Google OAuth ورموز الوصول، وليس على التقاط كلمات المرور.
- يصف العنوان العينة بأنها مشوشة باستخدام ConfuserEx، ما قد يعقد التحليل.
- قد يظل الوصول القائم على الرموز المميزة متاحًا حتى يتم إلغاء منح التفويض.
- إلغاء وصول التطبيق هو خطوة استجابة رئيسية عند الاشتباه في إساءة استخدام OAuth.
كيف يتغير سطح الهجوم
تم تصميم OAuth لتمكين المستخدمين من الموافقة على وصول محدود لتطبيقات الطرف الثالث. في الاستخدام الطبيعي، يعد ذلك تحسينًا أمنيًا مقارنة بتسليم كلمة المرور. لكن يمكن قلب نموذج الثقة نفسه ضد المؤسسات إذا تمكن مهاجم من دفع مستخدم إلى الموافقة على مسار موافقة خبيث أو مُساء استخدامه. والنتيجة غالبًا تكون رمز وصول، يمكن استخدامه ضمن النطاقات الممنوحة حتى تنتهي صلاحيته أو يتم إلغاؤه.
وهنا يكمن التمييز المهم: المشكلة الدفاعية ليست فقط اختراق تسجيل الدخول، بل اختراق التفويض. قد يساعد تغيير كلمات المرور في بعض الحوادث، لكنه لا يؤدي تلقائيًا إلى إزالة تفويض التطبيق الممنوح. وبعبارة أخرى، إذا ظل الرمز المميز أو منح التطبيق صالحًا، فقد يبقى مسار المهاجم مفتوحًا حتى بعد إعادة تعيين بيانات الاعتماد.
إن الاستخدام المبلغ عنه لعينة .NET مشوشة باستخدام ConfuserEx يضيف طبقة أخرى. يمكن أن تكون البرمجيات الخبيثة ذات الكود المُدار أسهل في النشر عبر بيئات Windows، بينما تجعل عملية التشويش الفحص الساكن والهندسة العكسية أبطأ. وقد يمنح ذلك المشغل وقتًا، خاصة عندما لا يكون الهدف الحقيقي تعطيلًا صاخبًا بل وصولًا هادئًا إلى صناديق البريد وبيانات Google ذات الصلة.
حتى وقت كتابة هذا التقرير، لم تُثبت المعلومات العامة بشكل كامل السبب الجذري التقني، أو النطاق الكامل للمستخدمين المتأثرين، أو ما إذا كانت أي حسابات معينة قد تم الوصول إليها بالفعل. المعلومات المتاحة تدعم تحليلًا للمخاطر، لا استنتاجًا نهائيًا بشأن اختراق أوسع.
ما الذي ينبغي على المدافعين مراقبته
الدرس العملي هنا هو أن القياسات عن بُعد الخاصة بالهوية أصبحت مهمة بقدر أهمية القياسات عن بُعد الخاصة بالنقاط الطرفية. ينبغي لفرق الأمن مراجعة منح تطبيقات الطرف الثالث، والتحقق من نطاقات OAuth، وإزالة أي شيء غير مألوف أو غير ضروري. تستحق أحداث الموافقة المشبوهة، وتفويضات التطبيقات غير المعتادة، وأنماط الوصول إلى صناديق البريد التي لا تتوافق مع السلوك الطبيعي اهتمامًا فوريًا.
عند الاشتباه في إساءة استخدام OAuth، يجب أن تشمل الاستجابة للحوادث إلغاء وصول التطبيقات المرتبطة وإبطال الرموز المميزة، وليس مجرد تدوير كلمات المرور. هذا الفرق الصغير قد يحدد ما إذا كان التفويض الخفي سيظل نشطًا أم سيتم قطعه.
الخلاصة
تذكّرنا هذه الحالة بأن أخطر مسار للوصول ليس دائمًا كلمة مرور مكسورة. أحيانًا يكون مجرد منح أذونات يبدو مشروعًا ولم يكن القصد أبدًا تحويله إلى سلاح. أما الدرس الأوسع للمدافعين فهو بسيط: في هوية السحابة، الموافقة هي حد أمني، وعلى فرق الأمن مراقبتها على هذا الأساس.
TECHCROOK
مفتاح أمان للأجهزة: يضيف مفتاح أمان للأجهزة حماية تسجيل دخول مقاومة للتصيد لحسابات Google والحسابات الأخرى. إنه خيار عملي للمستخدمين والفرق الذين يريدون تحكمًا أقوى في الوصول إلى الحساب إلى جانب نظافة كلمات المرور، ومراجعة منح التطبيقات، وإبطال الرموز المميزة.
WIKICROOK
- OAuth: إطار عمل للتفويض يتيح للمستخدمين منح وصول محدود للتطبيقات دون مشاركة كلمة المرور.
- رمز وصول: اعتماد قصير العمر يستخدمه التطبيق لاستدعاء واجهة برمجة تطبيقات ضمن الأذونات المعتمدة.
- .NET: منصة تشغيل وتطوير من Microsoft تُستخدم لتشغيل التطبيقات المُدارة.
- ConfuserEx: أداة تشويش مفتوحة المصدر لـ .NET تجعل الشفرة أصعب في التحليل والهندسة العكسية.
- النطاق: الأذونات المحددة التي يتلقاها التطبيق أثناء منح موافقة OAuth.




