قبعة سوداء أوروبا 2022 - لندن - كوينستومب. كلب الحراسة. دينونيا.
تعد حملات الهجمات الإلكترونية هذه من بين التهديدات الأكثر انتشارًا التي تستهدف الأنظمة السحابية اليوم - ويجب أن تكون قدرتها على تجنب الاكتشاف بمثابة قصة تحذيرية للتهديدات المحتملة القادمة ، كما ذكر باحث أمني مفصل هنا اليوم.
"أظهرت حملات البرامج الضارة التي تركز على السحابة مؤخرًا أن المجموعات المعادية لديها معرفة وثيقة بتقنيات السحابة وآليات الأمان الخاصة بها. وقال مات موير ، مهندس استخبارات التهديدات في شركة كادو للأمن ، الذي شارك تفاصيل عن تلك الحملات الثلاث التي درسها فريقه ، ليس هذا فقط ، فهم يستخدمون ذلك لمصلحتهم.
في حين أن حملات الهجوم الثلاث تدور حول علم التشفير في هذه المرحلة ، يمكن استخدام بعض تقنياتها لأغراض شائنة. وبالنسبة للجزء الأكبر ، فإن هذه الهجمات وغيرها من الهجمات التي شاهدها فريق Muir تستغل إعدادات السحابة المهيأة بشكل خاطئ وأخطاء أخرى. وهذا يعني في الغالب الدفاع ضدهم من الأراضي في معسكر العملاء السحابي ، وفقًا لموير.
يقول موير لـ Dark Reading: "من الناحية الواقعية بالنسبة لهذه الأنواع من الهجمات ، فإن الأمر يتعلق بالمستخدم أكثر من مزود الخدمة [السحابية]". إنهم انتهازيون للغاية. وقال إن غالبية الهجمات التي نراها لها علاقة بالأخطاء "التي يرتكبها عميل السحابة.
وقال إنه ربما كان التطور الأكثر إثارة للاهتمام مع هذه الهجمات هو أنها تستهدف الآن الحوسبة والحاويات بدون خادم. قال في عرضه التقديمي: "إن سهولة اختراق موارد السحابة جعلت السحابة هدفًا سهلاً"تقنيات تجنب الاكتشاف في العالم الحقيقي في السحابة".
DoH ، إنه برنامج Cryptominer
تستهدف برامج Denonia الضارة بيئات AWS Lambda الخالية من الخوادم في السحابة. قال موير: "نعتقد أنها أول عينة برامج ضارة يتم الكشف عنها علنًا لاستهداف البيئات التي لا تحتوي على خادم". بينما تدور الحملة نفسها حول التشفير ، يستخدم المهاجمون بعض أساليب القيادة والتحكم المتقدمة التي تشير إلى أنهم مدروسون جيدًا في تقنية السحابة.
يستخدم مهاجمو Denonia بروتوكولًا ينفذ DNS عبر HTTPS (المعروف أيضًا باسم DoH) ، والذي يرسل استعلامات DNS عبر HTTPS إلى خوادم المحلل المستندة إلى DoH. يمنح ذلك المهاجمين طريقة للاختباء داخل حركة المرور المشفرة بحيث لا تتمكن AWS من عرض عمليات بحث DNS الضارة الخاصة بهم. قال موير: "إنها ليست أول برنامج ضار يستخدم DoH ، لكنه بالتأكيد ليس أمرًا شائعًا". قال "هذا يمنع البرامج الضارة من إطلاق تنبيه" مع AWS.
كما يبدو أن المهاجمين ألقوا المزيد من عمليات التحويل لإلهاء أو إرباك محللي الأمن ، وآلاف السطور من سلاسل طلب HTTPS لوكيل المستخدم.
"اعتقدنا في البداية أنها ربما تكون عبارة عن روبوتات أو DDoS ... ولكن في تحليلنا لم يتم استخدامها بالفعل من قبل البرامج الضارة" وبدلاً من ذلك كانت طريقة لملء الملف الثنائي لتجنب أدوات اكتشاف نقطة النهاية والاستجابة (EDR) وتحليل البرامج الضارة ، هو قال.
المزيد من Cryptojacking مع CoinStomp و Watchdog
CoinStomp عبارة عن برنامج ضار أصلي في السحابة يستهدف موفري خدمات الأمان السحابي في آسيا لأغراض التشفير. رئيسي طريقة عملها هو التلاعب بالطابع الزمني كأسلوب مضاد للطب الشرعي ، بالإضافة إلى إزالة سياسات تشفير النظام. كما تستخدم عائلة C2 استنادًا إلى غلاف عكسي dev / tcp للاندماج في بيئات Unix للأنظمة السحابية.
كلب الحراسةفي غضون ذلك ، كانت موجودة منذ عام 2019 وهي واحدة من أكثر مجموعات التهديد التي تركز على السحابة ، كما أشار موير. "إنهم ينتهزون في استغلال التهيئة الخاطئة للسحابة ، [اكتشاف تلك الأخطاء] عن طريق المسح الشامل."
يعتمد المهاجمون أيضًا على إخفاء المعلومات في المدرسة القديمة لتجنب الكشف ، وإخفاء برامجهم الضارة خلف ملفات الصور.
واختتم موير حديثه قائلاً: "نحن في مرحلة مثيرة للاهتمام في أبحاث البرامج الضارة السحابية". "الحملات لا تزال تفتقر إلى حد ما من الناحية الفنية ، وهو خبر سار للمدافعين."
ولكن هناك المزيد في المستقبل. ووفقًا لموير ، فإن "الجهات الفاعلة في مجال التهديد أصبحت أكثر تعقيدًا" ومن المرجح أن تنتقل من صناعة العملات المشفرة إلى هجمات أكثر ضررًا.
