BLACK HAT EUROPE 2022 – Londres – CoinStomp. Chien de garde. Dénonie.
Ces campagnes de cyberattaques sont parmi les menaces les plus prolifiques aujourd'hui ciblant les systèmes cloud - et leur capacité à échapper à la détection devrait servir d'avertissement sur les menaces potentielles à venir, a détaillé ici aujourd'hui un chercheur en sécurité.
« Les récentes campagnes de logiciels malveillants axées sur le cloud ont démontré que les groupes adversaires ont une connaissance intime des technologies cloud et de leurs mécanismes de sécurité. Et non seulement cela, ils l'utilisent à leur avantage », a déclaré Matt Muir, ingénieur du renseignement sur les menaces pour Cado Security, qui a partagé des détails sur ces trois campagnes que son équipe a étudiées.
Alors que les trois campagnes d'attaque portent toutes sur le cryptominage à ce stade, certaines de leurs techniques pourraient être utilisées à des fins plus néfastes. Et pour la plupart, ces attaques et d'autres que l'équipe de Muir a vues exploitent des paramètres de cloud mal configurés et d'autres erreurs. Cela signifie en grande partie se défendre contre eux dans le camp des clients du cloud, selon Muir.
"En réalité, pour ce type d'attaques, cela a plus à voir avec l'utilisateur qu'avec le fournisseur de services [cloud]", a déclaré Muir à Dark Reading. «Ils sont très opportunistes. La majorité des attaques que nous voyons ont plus à voir avec des erreurs » par le client du cloud, a-t-il déclaré.
Le développement le plus intéressant de ces attaques est peut-être qu'elles ciblent désormais l'informatique sans serveur et les conteneurs, a-t-il déclaré. "La facilité avec laquelle les ressources cloud peuvent être compromises a fait du cloud une cible facile", a-t-il déclaré dans sa présentation, "Techniques d'évasion de détection dans le monde réel dans le cloud. »
DoH, c'est un cryptomineur
Le malware Denonia cible les environnements sans serveur AWS Lambda dans le cloud. "Nous pensons qu'il s'agit du premier échantillon de logiciel malveillant divulgué publiquement à cibler des environnements sans serveur", a déclaré Muir. Alors que la campagne elle-même porte sur le cryptomining, les attaquants utilisent des méthodes de commande et de contrôle avancées qui indiquent qu'ils sont bien étudiés dans la technologie cloud.
Les attaquants de Denonia utilisent un protocole qui implémente DNS sur HTTPS (alias DoH), qui envoie des requêtes DNS via HTTPS à des serveurs de résolution basés sur DoH. Cela donne aux attaquants un moyen de se cacher dans le trafic chiffré de sorte qu'AWS ne puisse pas voir leurs recherches DNS malveillantes. "Ce n'est pas le premier malware à utiliser DoH, mais ce n'est certainement pas un phénomène courant", a déclaré Muir. "Cela empêche le malware de déclencher une alerte" auprès d'AWS, précise-t-il.
Les attaquants semblaient également avoir lancé plus de détournements pour distraire ou confondre les analystes de sécurité, des milliers de lignes de chaînes de requête HTTPS d'agent utilisateur.
"Au début, nous pensions qu'il s'agissait peut-être d'un botnet ou d'un DDoS… mais dans notre analyse, il n'était pas réellement utilisé par des logiciels malveillants" et était plutôt un moyen de remplir le binaire afin d'échapper aux outils de détection et de réponse des points finaux (EDR) et à l'analyse des logiciels malveillants. , il a dit.
Plus de cryptojacking avec CoinStomp et Watchdog
CoinStomp est un logiciel malveillant natif du cloud ciblant les fournisseurs de sécurité cloud en Asie à des fins de cryptojacking. Son principal modus operandi est la manipulation d'horodatage en tant que technique anti-criminalistique, ainsi que la suppression des politiques cryptographiques du système. Il utilise également une famille C2 basée sur un shell inversé dev/tcp pour se fondre dans les environnements Unix des systèmes cloud.
Chien de garde, quant à lui, existe depuis 2019 et est l'un des groupes de menaces les plus importants axés sur le cloud, a noté Muir. "Ils sont opportunistes en exploitant la mauvaise configuration du cloud, [en détectant ces erreurs] en scannant en masse."
Les attaquants s'appuient également sur la stéganographie à l'ancienne pour échapper à la détection, cachant leurs logiciels malveillants derrière des fichiers image.
"Nous sommes à un stade intéressant de la recherche sur les logiciels malveillants dans le cloud", a conclu Muir. "Les campagnes manquent encore un peu de technicité, ce qui est une bonne nouvelle pour les défenseurs."
Mais il y a plus à venir. "Les acteurs de la menace deviennent de plus en plus sophistiqués" et passeront probablement du cryptomining à des attaques plus dommageables, selon Muir.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
