ब्लैक हैट यूरोप 2022 - लंदन - कॉइनस्टॉम्प. प्रहरी. डेनोनिया.
आज यहां एक सुरक्षा शोधकर्ता ने विस्तार से बताया कि ये साइबर हमले अभियान आज क्लाउड सिस्टम को लक्षित करने वाले सबसे खतरनाक खतरों में से एक हैं - और पता लगाने से बचने की उनकी क्षमता को आने वाले संभावित खतरों की एक सतर्क कहानी के रूप में काम करना चाहिए।
“हाल के क्लाउड-केंद्रित मैलवेयर अभियानों ने प्रदर्शित किया है कि विरोधी समूहों को क्लाउड प्रौद्योगिकियों और उनके सुरक्षा तंत्रों का गहन ज्ञान है। और इतना ही नहीं, वे इसका उपयोग अपने फायदे के लिए कर रहे हैं,'' कैडो सिक्योरिटी के लिए खतरा खुफिया इंजीनियर मैट मुइर ने कहा, जिन्होंने उन तीन अभियानों पर विवरण साझा किया है जिनका उनकी टीम ने अध्ययन किया है।
जबकि इस बिंदु पर तीन हमले अभियान क्रिप्टोमाइनिंग के बारे में हैं, उनकी कुछ तकनीकों का उपयोग अधिक नापाक उद्देश्यों के लिए किया जा सकता है। और अधिकांश भाग के लिए, ये और अन्य हमले मुइर की टीम ने गलत तरीके से कॉन्फ़िगर की गई क्लाउड सेटिंग्स और अन्य गलतियों का फायदा उठाते हुए देखे हैं। मुइर के अनुसार, अधिकांश भाग के लिए इसका मतलब है कि क्लाउड ग्राहक शिविर में उनके खिलाफ बचाव करना।
मुइर डार्क रीडिंग को बताते हैं, "इस प्रकार के हमलों के लिए वास्तविक रूप से, इसका [क्लाउड] सेवा प्रदाता की तुलना में उपयोगकर्ता से अधिक लेना-देना है।" “वे बहुत अवसरवादी हैं। हम जो भी हमले देखते हैं उनका संबंध क्लाउड ग्राहक की गलतियों से अधिक होता है, उन्होंने कहा।
उन्होंने कहा, शायद इन हमलों के साथ सबसे दिलचस्प विकास यह है कि वे अब सर्वर रहित कंप्यूटिंग और कंटेनरों को लक्षित कर रहे हैं। उन्होंने अपनी प्रस्तुति में कहा, "क्लाउड संसाधनों से आसानी से समझौता किया जा सकता है, जिससे क्लाउड एक आसान लक्ष्य बन गया है।"क्लाउड में वास्तविक दुनिया का पता लगाने की तकनीकें".
DoH, यह एक क्रिप्टोमिनर है
डेनोनिया मैलवेयर क्लाउड में AWS लैम्ब्डा सर्वर रहित वातावरण को लक्षित करता है। मुइर ने कहा, "हमारा मानना है कि यह सर्वर रहित वातावरण को लक्षित करने वाला पहला सार्वजनिक रूप से खुलासा किया गया मैलवेयर नमूना है।" जबकि अभियान स्वयं क्रिप्टोमाइनिंग के बारे में है, हमलावर कुछ उन्नत कमांड और नियंत्रण विधियों का उपयोग करते हैं जो इंगित करते हैं कि उन्होंने क्लाउड प्रौद्योगिकी में अच्छी तरह से अध्ययन किया है।
डेनोनिया हमलावर एक प्रोटोकॉल का उपयोग करते हैं जो DNS को HTTPS (उर्फ DoH) पर लागू करता है, जो HTTPS पर DNS क्वेरीज़ को DoH-आधारित रिज़ॉल्वर सर्वर पर भेजता है। इससे हमलावरों को एन्क्रिप्टेड ट्रैफ़िक में छिपने का एक तरीका मिल जाता है, जिससे AWS उनके दुर्भावनापूर्ण DNS लुकअप को नहीं देख सकता है। मुइर ने कहा, "यह DoH का उपयोग करने वाला पहला मैलवेयर नहीं है, लेकिन यह निश्चित रूप से एक सामान्य घटना नहीं है।" उन्होंने कहा, "यह मैलवेयर को AWS के साथ अलर्ट ट्रिगर करने से रोकता है"।
ऐसा प्रतीत होता है कि हमलावरों ने सुरक्षा विश्लेषकों का ध्यान भटकाने या भ्रमित करने के लिए उपयोगकर्ता एजेंट HTTPS अनुरोध स्ट्रिंग की हजारों लाइनें फेंक दी हैं।
"पहले हमने सोचा कि यह एक बॉटनेट या DDoS हो सकता है... लेकिन हमारे विश्लेषण में यह वास्तव में मैलवेयर द्वारा उपयोग नहीं किया गया था" और इसके बजाय एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (EDR) टूल और मैलवेयर विश्लेषण से बचने के लिए बाइनरी को पैड करने का एक तरीका था। , उसने कहा।
कॉइनस्टॉम्प और वॉचडॉग के साथ अधिक क्रिप्टोजैकिंग
कॉइनस्टॉम्प एक क्लाउड-नेटिव मैलवेयर है जो क्रिप्टोजैकिंग उद्देश्यों के लिए एशिया में क्लाउड सुरक्षा प्रदाताओं को लक्षित करता है। यह मुख्य है कार्य करने का ढंग एक एंटी-फोरेंसिक तकनीक के रूप में टाइमस्टैम्प हेरफेर है, साथ ही सिस्टम क्रिप्टोग्राफ़िक नीतियों को हटाना भी है। यह क्लाउड सिस्टम के यूनिक्स वातावरण में मिश्रण करने के लिए dev/tcp रिवर्स शेल पर आधारित C2 परिवार का भी उपयोग करता है।
प्रहरीइस बीच, 2019 से अस्तित्व में है और यह अधिक प्रमुख क्लाउड-केंद्रित खतरे वाले समूहों में से एक है, मुइर ने कहा। "वे बड़े पैमाने पर स्कैनिंग द्वारा क्लाउड गलत कॉन्फ़िगरेशन का फायदा उठाने, [उन गलतियों का पता लगाने] में अवसरवादी हैं।"
हमलावर छवि फ़ाइलों के पीछे अपने मैलवेयर को छिपाकर, पहचान से बचने के लिए पुराने स्कूल की स्टेग्नोग्राफ़ी पर भी भरोसा करते हैं।
मुइर ने निष्कर्ष निकाला, "हम क्लाउड मैलवेयर अनुसंधान में एक दिलचस्प बिंदु पर हैं।" "अभियानों में अभी भी कुछ हद तक तकनीकी कमी है, जो रक्षकों के लिए अच्छी खबर है।"
लेकिन अभी और भी बहुत कुछ आना बाकी है। मुइर के अनुसार, "खतरे वाले कलाकार अधिक परिष्कृत होते जा रहे हैं" और संभावना है कि वे क्रिप्टोमाइनिंग से अधिक हानिकारक हमलों की ओर बढ़ेंगे।
