BLACK HAT EUROPE 2022 – London – CoinStomp. Valvekoer. Denonia.
Need küberrünnakukampaaniad on tänapäeval ühed kõige viljakamad pilvesüsteemidele suunatud ohud – ja nende võime avastamisest kõrvale hiilida peaks olema hoiatav lugu võimalikest tulevastest ohtudest, kirjeldas turvateadlane täna siin.
"Hiljutised pilvepõhised pahavarakampaaniad on näidanud, et vastasrühmadel on pilvetehnoloogiate ja nende turvamehhanismide kohta lähedased teadmised. Ja mitte ainult, nad kasutavad seda oma eeliseks, ”ütles Cado Security ohuluure insener Matt Muir, kes jagas üksikasju nende kolme kampaania kohta, mida tema meeskond on uurinud.
Kuigi kolm ründekampaaniat puudutavad praegu krüptomist, võib mõnda nende tehnikat kasutada ka kurjematel eesmärkidel. Ja enamasti kasutavad need ja muud Muiri meeskonna poolt nähtud rünnakud valesti konfigureeritud pilveseadeid ja muid vigu. See tähendab Muiri sõnul enamasti nende vastu kaitsmist pilve klientide leeris.
"Reaalselt on seda tüüpi rünnakute puhul see rohkem seotud kasutajaga kui [pilve]teenuse pakkujaga," räägib Muir Dark Readingile. "Nad on väga oportunistlikud. Enamik rünnakuid, mida me näeme, on rohkem seotud pilve kliendi vigadega, ütles ta.
Võib-olla on nende rünnakute kõige huvitavam areng see, et need on nüüd suunatud serverita andmetöötlusele ja konteineritele, ütles ta. "Pilveressursside ohustamise lihtsus on muutnud pilve lihtsaks sihtmärgiks," ütles ta oma ettekandes.Reaalmaailma tuvastamise kõrvalehoidmise tehnikad pilves. "
DoH, see on krüptokaevandaja
Denonia pahavara sihib AWS Lambda serverita keskkondi pilves. "Usume, et see on esimene avalikult avalikustatud pahavara näidis, mis sihib serverita keskkondi," ütles Muir. Kuigi kampaania ise puudutab krüptomist, kasutavad ründajad mõningaid täiustatud käsu- ja juhtimismeetodeid, mis näitavad, et nad on pilvetehnoloogias hästi õppinud.
Denonia ründajad kasutavad protokolli, mis rakendab DNS-i HTTPS-i (aka DoH) kaudu, mis saadab DNS-päringuid HTTPS-i kaudu DoH-põhistele lahendajaserveritele. See annab ründajatele võimaluse end krüptitud liikluses peita, nii et AWS ei saa vaadata nende pahatahtlikke DNS-i otsinguid. "See pole esimene pahavara, mis DoH-d kasutab, kuid see pole kindlasti tavaline," ütles Muir. "See takistab pahavaral AWS-iga hoiatust käivitamast," ütles ta.
Tundub, et ründajad on turvaanalüütikute tähelepanu kõrvalejuhtimiseks või segadusse ajanud tuhandeid ridu kasutajaagendi HTTPS-i päringu stringe.
"Alguses arvasime, et see võib olla botnet või DDoS, kuid meie analüüsis seda pahavara tegelikult ei kasutanud" ja selle asemel oli see viis binaarfaili polsterdamiseks, et vältida lõpp-punkti tuvastamise ja reageerimise (EDR) tööriistu ja pahavara analüüsi. , ta ütles.
Rohkem Cryptojacking CoinStompi ja Watchdogiga
CoinStomp on pilvepõhine pahavara, mis on sihitud Aasia pilveturbe pakkujatele krüptootsimise eesmärgil. Selle peamine Mahlane puuvili on ajatempliga manipuleerimine kohtuekspertiisi vastase tehnikana, samuti süsteemi krüptopoliitika eemaldamine. Samuti kasutab see pilvesüsteemide Unixi keskkondadesse sulandumiseks C2 perekonda, mis põhineb dev/tcp pöördkestal.
ValvekoerVahepeal on tegutsenud alates 2019. aastast ja see on üks silmapaistvamaid pilvepõhiseid ohurühmi, märkis Muir. "Nad on oportunistlikud pilve vale konfiguratsiooni ärakasutamisel, [avastades need vead] massilise skaneerimisega."
Ründajad toetuvad tuvastamisest kõrvalehoidmiseks ka vana kooli steganograafiale, peites oma pahavara pildifailide taha.
"Oleme pilve pahavara uurimisel huvitavas punktis," lõpetas Muir. "Kampaaniate tehnilisus on endiselt puudulik, mis on kaitsjatele hea uudis."
Aga tulemas on veel. Muiri sõnul on ohus osalejad muutumas keerukamaks ja tõenäoliselt liiguvad krüptomineerimiselt kahjustavamatele rünnakutele.
