BLACK HAT EUROPE 2022 – Lontoo – CoinStomp. Vahtikoira. Denonia.
Nämä kyberhyökkäyskampanjat ovat tämän päivän tuottavimpia pilvijärjestelmiin kohdistettuja uhkia – ja niiden kyky välttää havaitseminen pitäisi toimia varoituksena mahdollisista tulevista uhista, turvallisuustutkija kuvaili täällä tänään.
"Viimeaikaiset pilvipohjaiset haittaohjelmakampanjat ovat osoittaneet, että vihollisryhmillä on läheinen tieto pilviteknologioista ja niiden suojamekanismeista. Eikä vain sitä, he käyttävät sitä hyväkseen", sanoi Cado Securityn uhkien tiedusteluinsinööri Matt Muir, joka jakoi tietoja kolmesta kampanjasta, joita hänen tiiminsä on tutkinut.
Vaikka kolme hyökkäyskampanjaa koskevat tässä vaiheessa kaikkea kryptominointia, joitain niiden tekniikoista voitaisiin käyttää ilkeämpiin tarkoituksiin. Ja suurimmaksi osaksi nämä ja muut Muirin tiimin näkemät hyökkäykset käyttävät väärin määritettyjä pilviasetuksia ja muita virheitä. Tämä tarkoittaa suurimmaksi osaksi puolustamista niitä vastaan, ja se laskeutuu pilviasiakasleiriin Muirin mukaan.
"Realistisesti tällaisissa hyökkäyksissä se liittyy enemmän käyttäjään kuin [pilvi]palveluntarjoajaan", Muir kertoo Dark Readingille. "He ovat hyvin opportunistisia. Suurin osa havaitsemistamme hyökkäyksistä liittyy enemmän virheisiin, pilviasiakkaan tekemä, hän sanoi.
Ehkä mielenkiintoisin kehitys näissä hyökkäyksissä on, että ne kohdistuvat nyt palvelimettomaan tietokoneeseen ja säiliöön, hän sanoi. "Pilviresurssien vaarantumisen helppous on tehnyt pilvestä helpon kohteen", hän sanoi esityksessään.Reaalimaailman havaitsemisen evaasiotekniikat pilvessä"
DoH, se on kryptomineraja
Denonia-haittaohjelma kohdistuu AWS Lambda -palvelimettomiin ympäristöihin pilvessä. "Uskomme, että se on ensimmäinen julkisesti julkaistu haittaohjelmanäyte, joka on kohdistettu palvelimettomiin ympäristöihin", Muir sanoi. Vaikka kampanja itsessään koskee kryptominointia, hyökkääjät käyttävät kehittyneitä komento- ja ohjausmenetelmiä, jotka osoittavat, että he ovat hyvin opiskelleet pilviteknologiassa.
Denonia-hyökkääjät käyttävät protokollaa, joka toteuttaa DNS:n HTTPS:n kautta (alias DoH), joka lähettää DNS-kyselyitä HTTPS:n kautta DoH-pohjaisille ratkaisupalvelimille. Tämä antaa hyökkääjille tavan piiloutua salatun liikenteen sisään siten, että AWS ei voi tarkastella heidän haitallisia DNS-hakujaan. "Se ei ole ensimmäinen haittaohjelma, joka käyttää DoH:ta, mutta se ei todellakaan ole yleinen", Muir sanoi. "Tämä estää haittaohjelmia laukaisemasta hälytyksen" AWS:n kanssa, hän sanoi.
Hyökkääjät näyttivät myös heittäneen enemmän poikkeamia häiritäkseen tai hämmentääkseen tietoturva-analyytikot, tuhansia rivejä käyttäjäagentin HTTPS-pyyntöjonoja.
"Aluksi luulimme, että se voisi olla botnet tai DDoS… mutta analyysissämme haittaohjelmat eivät itse asiassa käyttäneet sitä" ja sen sijaan se oli tapa pehmustaa binaaria päätepisteiden tunnistus- ja vastaustyökalujen (EDR) ja haittaohjelmien analysoinnin välttämiseksi. , hän sanoi.
Lisää Cryptojacking CoinStompin ja Watchdogin avulla
CoinStomp on pilvipohjainen haittaohjelma, joka on kohdistettu Aasian pilvitietoturvan tarjoajiin kryptojaustarkoituksiin. Sen pääasiallinen Juicy Fruit on aikaleiman manipulointi rikosteknisen tekniikan vastaisena tekniikkana sekä järjestelmän salauskäytäntöjen poistaminen. Se käyttää myös dev/tcp-käänteiseen kuoreen perustuvaa C2-perhettä sulautuakseen pilvijärjestelmien Unix-ympäristöihin.
Vahtikoira, on ollut olemassa vuodesta 2019 ja on yksi näkyvimmistä pilveen keskittyvistä uhkaryhmistä, Muir huomautti. "He ovat opportunistisia hyödyntäessään pilven virheellisiä määrityksiä [havaitsemalla nuo virheet] massaskannauksella."
Hyökkääjät luottavat myös vanhan koulun steganografiaan välttääkseen havaitsemisen ja piilottavat haittaohjelmansa kuvatiedostojen taakse.
"Olemme mielenkiintoisessa vaiheessa pilvihaittaohjelmien tutkimuksessa", Muir totesi. "Kampanjoilta puuttuu edelleen jonkin verran teknisyyttä, mikä on hyvä uutinen puolustajille."
Mutta lisää on tulossa. "Uhkatoimijat ovat tulossa kehittyneempiä" ja todennäköisesti siirtyvät kryptominointista vahingollisempiin hyökkäyksiin Muirin mukaan.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
