ありふれた作業の自動化 タスクは、過去数年間で簡単になりました。 ドラッグ アンド ドロップの自動化ソフトウェアを使用して、スプレッドシートで勤務時間を追跡したり、誰かがメールで言及したときに To Do リスト項目を自動的に作成したりできます。 ツールは生活を楽にしてくれますが、リスクも伴います。
あるセキュリティ研究者は、Microsoft のソフトウェア自動化ツールをハイジャックして、接続されたマシンにランサムウェアを送信し、デバイスからデータを盗む方法を発見しました。 攻撃は設計どおりに自動化ツールを使用しますが、正当なアクションを送信する代わりに、マルウェアの展開に使用できると、セキュリティ会社の共同創設者兼 CTO である Michael Bargury は述べています。 ゼニティ、作業の背後にあります。
「私の調査によると、攻撃者はこのインフラストラクチャをすべて悪用して、本来の目的を正確に実行できることがわかりました」と Bargury 氏は言います。 “君は [then] エンタープライズ ペイロードの代わりに独自のペイロードを実行するために使用します。」 その研究者は、 DefCon ハッカー会議 先月、それ以来コードをリリースしました。
この攻撃は、Windows 11 に組み込まれた自動化ツールである Microsoft の Power Automate に基づいています。Power Automate は、RPA とも呼ばれるロボティック プロセス オートメーションの形式を使用し、コンピューターが人間の行動を模倣してタスクを完了します。 RSS フィードが更新されるたびに通知を受け取りたい場合は、それを実現するカスタム RPA プロセスを構築できます。 これらの自動化は何千も存在し、Microsoft のソフトウェアは Outlook をリンクできます。 チーム、Dropbox、およびその他のアプリ。
ソフトウェアは、より広い範囲の一部です ローコード/ノーコード移動 コーディングの知識がなくても、人々が何かを作成するために使用できるツールを作成することを目的としています。 「今ではすべてのビジネス ユーザーが、開発者がかつて持っていた力を持っています」と Bargury 氏は言います。 彼の会社は、ローコード/ノーコード アプリを保護するために存在しています。
Bargury の研究は、ハッカーが既に誰かのコンピューターへのアクセス権を取得している状況から始まります。 (企業内のコンピューターは、たとえばパッチや更新プログラムが適用されていないなどの理由で安全でないことがよくありますが、この時点から始めれば、攻撃者はすでに企業ネットワークに侵入している可能性があります。)
攻撃者がコンピューターにアクセスできるようになると、RPA セットアップを悪用するためにいくつかの追加手順を実行する必要がありますが、これらは比較的単純です。 「ここではハッキングはあまりありません」と、プロセス全体を吹き替えた Bargury 氏は言います。 Power Pwn であり、GitHub でドキュメント化しています.
まず、攻撃者は Microsoft をセットアップする必要があります。 クラウドアカウント、テナントと呼ばれ、割り当てられているすべてのマシンを管理者が制御できるように設定します。 これにより、悪意のあるアカウントがエンド ユーザーのデバイスで RPA プロセスを実行できるようになります。 以前に侵害されたマシンで、ハッキングがしなければならないことは、新しい管理者アカウントに割り当てることだけです。これは、と呼ばれる単純なコマンドラインを使用して行われます。 サイレント登録.
「これを行うと、攻撃者としてマシンにペイロードを送信できる URL を取得できます」と Bargury 氏は言います。 DefCon の講演に先立って、彼は Power Automate を使用して次のことを行う方法を示す複数のデモを作成しました。 ランサムウェアを押し出す 影響を受けるマシンに。 他のデモでは、攻撃者が盗む方法を示しています 認証トークン 機械から. 「この信頼できるトンネルを介して企業ネットワークの外にデータを盗み出したり、キーロガーを構築したり、クリップボードから情報を取得したり、ブラウザを制御したりできます」と Bargury 氏は言います。