3 τρόποι με τους οποίους οι εισβολείς παρακάμπτουν την ασφάλεια του νέφους

BLACK HAT EUROPE 2022 – Λονδίνο – CoinStomp. Φρουρός. Denonia.

Αυτές οι εκστρατείες κυβερνοεπιθέσεων είναι από τις πιο παραγωγικές απειλές σήμερα που στοχεύουν συστήματα cloud – και η ικανότητά τους να αποφύγουν τον εντοπισμό θα πρέπει να χρησιμεύσει ως προειδοποιητική ιστορία για πιθανές απειλές που θα ακολουθήσουν, αναφέρει ένας ερευνητής ασφάλειας σήμερα.

«Πρόσφατες εκστρατείες κακόβουλου λογισμικού που εστιάζονται στο cloud έχουν αποδείξει ότι οι αντίπαλες ομάδες έχουν βαθιά γνώση των τεχνολογιών cloud και των μηχανισμών ασφαλείας τους. Και όχι μόνο αυτό, αλλά το χρησιμοποιούν προς όφελός τους», δήλωσε ο Matt Muir, μηχανικός πληροφοριών απειλών για την Cado Security, ο οποίος μοιράστηκε λεπτομέρειες σχετικά με αυτές τις τρεις εκστρατείες που έχει μελετήσει η ομάδα του.

Ενώ οι τρεις εκστρατείες επίθεσης αφορούν την κρυπτοεξόρυξη σε αυτό το σημείο, ορισμένες από τις τεχνικές τους θα μπορούσαν να χρησιμοποιηθούν για πιο κακόβουλους σκοπούς. Και ως επί το πλείστον, αυτές και άλλες επιθέσεις που έχει δει η ομάδα του Muir εκμεταλλεύονται εσφαλμένες ρυθμίσεις στο cloud και άλλα λάθη. Αυτό ως επί το πλείστον σημαίνει ότι η άμυνα εναντίον τους προσγειώνεται στο στρατόπεδο πελατών cloud, σύμφωνα με τον Muir.

«Ρεαλιστικά για αυτού του είδους τις επιθέσεις, έχει να κάνει περισσότερο με τον χρήστη παρά με τον πάροχο υπηρεσιών [σύννεφου]», λέει ο Muir στο Dark Reading. «Είναι πολύ καιροσκοπικοί. Η πλειοψηφία των επιθέσεων που βλέπουμε έχουν να κάνουν περισσότερο με λάθη» από τον πελάτη του cloud, είπε.

Ίσως η πιο ενδιαφέρουσα εξέλιξη με αυτές τις επιθέσεις είναι ότι τώρα στοχεύουν υπολογιστές και κοντέινερ χωρίς διακομιστή, είπε. «Η ευκολία στην οποία μπορούν να διακυβευτούν οι πόροι του cloud έχει κάνει το cloud εύκολο στόχο», είπε στην παρουσίασή του,Τεχνικές αποφυγής ανίχνευσης πραγματικού κόσμου στο σύννεφο. "

DoH, Είναι ένα Cryptominer

Το κακόβουλο λογισμικό Denonia στοχεύει περιβάλλοντα χωρίς διακομιστή AWS Lambda στο cloud. "Πιστεύουμε ότι είναι το πρώτο δείγμα κακόβουλου λογισμικού που αποκαλύπτεται δημόσια για να στοχεύει περιβάλλοντα χωρίς διακομιστή", δήλωσε ο Muir. Ενώ η ίδια η καμπάνια αφορά την εξόρυξη κρυπτογράφησης, οι εισβολείς χρησιμοποιούν ορισμένες προηγμένες μεθόδους εντολών και ελέγχου που δείχνουν ότι είναι καλά μελετημένοι στην τεχνολογία cloud.

Οι εισβολείς της Denonia χρησιμοποιούν ένα πρωτόκολλο που υλοποιεί DNS μέσω HTTPS (γνωστός και ως DoH), το οποίο στέλνει ερωτήματα DNS μέσω HTTPS σε διακομιστές επίλυσης που βασίζονται στο DoH. Αυτό δίνει στους εισβολείς έναν τρόπο να κρύβονται μέσα στην κρυπτογραφημένη κυκλοφορία, έτσι ώστε το AWS να μην μπορεί να δει τις κακόβουλες αναζητήσεις DNS. «Δεν είναι το πρώτο κακόβουλο λογισμικό που χρησιμοποιεί DoH, αλλά σίγουρα δεν είναι συνηθισμένο φαινόμενο», είπε ο Muir. "Αυτό εμποδίζει το κακόβουλο λογισμικό να ενεργοποιήσει μια ειδοποίηση" με το AWS, είπε.

Οι εισβολείς φάνηκε επίσης να έχουν ρίξει περισσότερες εκτροπές για να αποσπάσουν την προσοχή ή να μπερδέψουν τους αναλυτές ασφαλείας, χιλιάδες σειρές συμβολοσειρών αιτημάτων του παράγοντα χρήστη HTTPS.

"Στην αρχή πιστεύαμε ότι θα μπορούσε να ήταν botnet ή DDoS ... αλλά στην ανάλυσή μας δεν χρησιμοποιήθηκε στην πραγματικότητα από κακόβουλο λογισμικό" και αντ 'αυτού ήταν ένας τρόπος να συμπληρώσουμε το δυαδικό αρχείο προκειμένου να αποφύγουμε τα εργαλεία εντοπισμού και απόκρισης τελικού σημείου (EDR) και την ανάλυση κακόβουλου λογισμικού , αυτός είπε.

Περισσότερα Cryptojacking με CoinStomp και Watchdog

Το CoinStomp είναι κακόβουλο λογισμικό εγγενές στο cloud που στοχεύει παρόχους ασφάλειας cloud στην Ασία για σκοπούς κρυπτογράφησης. Το κύριο του modus operandi είναι ο χειρισμός της χρονικής σφραγίδας ως τεχνική κατά της εγκληματολογίας, καθώς και η κατάργηση των πολιτικών κρυπτογράφησης του συστήματος. Χρησιμοποιεί επίσης μια οικογένεια C2 που βασίζεται σε ένα αντίστροφο κέλυφος dev/tcp για να συνδυάζεται με περιβάλλοντα Unix των συστημάτων cloud.

Φρουρός, εν τω μεταξύ, υπάρχει από το 2019 και είναι μία από τις πιο εξέχουσες ομάδες απειλών που εστιάζονται στο cloud, σημείωσε ο Muir. «Είναι καιροσκοπικοί στην εκμετάλλευση της εσφαλμένης διαμόρφωσης του cloud, [εντοπίζοντας αυτά τα λάθη] με μαζική σάρωση».

Οι εισβολείς βασίζονται επίσης στη στεγανογραφία της παλιάς σχολής για να αποφύγουν τον εντοπισμό, κρύβοντας το κακόβουλο λογισμικό τους πίσω από αρχεία εικόνας.

«Βρισκόμαστε σε ένα ενδιαφέρον σημείο στην έρευνα για κακόβουλο λογισμικό cloud», κατέληξε ο Muir. «Οι καμπάνιες εξακολουθούν να στερούνται κάπως τεχνικής, κάτι που είναι καλά νέα για τους αμυντικούς».

Αλλά έρχονται κι άλλα. «Οι φορείς απειλών γίνονται πιο εξελιγμένοι» και πιθανότατα θα περάσουν από την κρυπτοεξόρυξη σε πιο επιζήμιες επιθέσεις, σύμφωνα με τον Muir.