BLACK HAT EUROPE 2022 – London – CoinStomp. Watchdog. Denonia.
Disse cyberangrebskampagner er blandt de mest produktive trusler i dag, der er rettet mod skysystemer - og deres evne til at unddrage sig opdagelse bør tjene som en advarsel om potentielle trusler, der kommer, fortæller en sikkerhedsforsker her i dag.
"Seneste cloud-fokuserede malware-kampagner har vist, at modstandsgrupper har indgående kendskab til cloud-teknologier og deres sikkerhedsmekanismer. Og ikke nok med det, de bruger det til deres fordel,” sagde Matt Muir, trusselsefterretningsingeniør for Cado Security, som delte detaljer om de tre kampagner, hans team har studeret.
Mens de tre angrebskampagner handler om kryptominering på dette tidspunkt, kunne nogle af deres teknikker bruges til mere ondsindede formål. Og for det meste udnytter disse og andre angreb, som Muirs team har set, miskonfigurerede skyindstillinger og andre fejl. Det betyder for det meste, at forsvar mod dem lander i cloud-kundelejren, ifølge Muir.
"Realistisk for denne slags angreb har det mere at gøre med brugeren end [sky]-tjenesteudbyderen," siger Muir til Dark Reading. »De er meget opportunistiske. Størstedelen af angrebene, vi ser, har mere at gøre med fejl" fra skykunden, sagde han.
Den måske mest interessante udvikling med disse angreb er, at de nu er rettet mod serverløs computing og containere, sagde han. "Den lethed, som cloud-ressourcer kan kompromitteres, har gjort skyen til et let mål," sagde han i sin præsentation, "Real-World Detection Evasion-teknikker i skyen".
DoH, det er en Cryptominer
Denonia malware retter sig mod AWS Lambda serverløse miljøer i skyen. "Vi mener, at det er den første offentligt afslørede malwareprøve, der er målrettet mod serverløse miljøer," sagde Muir. Mens selve kampagnen handler om kryptominering, anvender angriberne nogle avancerede kommando- og kontrolmetoder, der indikerer, at de er velundersøgte inden for cloud-teknologi.
Denonia-angriberne anvender en protokol, der implementerer DNS over HTTPS (alias DoH), som sender DNS-forespørgsler over HTTPS til DoH-baserede resolverservere. Det giver angriberne en måde at gemme sig i krypteret trafik, så AWS ikke kan se deres ondsindede DNS-opslag. "Det er ikke den første malware, der gør brug af DoH, men det er bestemt ikke en almindelig begivenhed," sagde Muir. "Dette forhindrer malware i at udløse en alarm" med AWS, sagde han.
Angriberne så også ud til at have kastet flere omledninger ind for at distrahere eller forvirre sikkerhedsanalytikere, tusindvis af linjer af brugeragent HTTPS-anmodningsstrenge.
"Først troede vi, at det måske var et botnet eller DDoS ... men i vores analyse blev det faktisk ikke brugt af malware" og var i stedet en måde at udfylde det binære for at undgå endpoint detection & response (EDR) værktøjer og malware-analyse , han sagde.
Mere Cryptojacking med CoinStomp og Watchdog
CoinStomp er cloud-native malware rettet mod cloud-sikkerhedsudbydere i Asien til kryptojacking-formål. Dens vigtigste Juicy Fruit er tidsstempelmanipulation som en anti-retsmedicinsk teknik, samt fjernelse af systemkryptografiske politikker. Den bruger også en C2-familie baseret på en dev/tcp reverse shell til at blande sig ind i skysystemernes Unix-miljøer.
Watchdog, i mellemtiden har eksisteret siden 2019 og er en af de mere fremtrædende sky-fokuserede trusselsgrupper, bemærkede Muir. "De er opportunistiske til at udnytte cloud-fejlkonfiguration, [opdage disse fejl] ved massescanning."
Angriberne er også afhængige af gammeldags steganografi for at undgå opdagelse og skjuler deres malware bag billedfiler.
"Vi er på et interessant tidspunkt inden for forskning i cloud-malware," konkluderede Muir. "Kampagner mangler stadig noget i teknikalitet, hvilket er gode nyheder for forsvarsspillere."
Men der kommer mere. "Trusselsaktører bliver mere sofistikerede" og vil sandsynligvis bevæge sig fra kryptominering til mere skadelige angreb, ifølge Muir.
