BLACK HAT EUROPE 2022 – London – CoinStomp. Watchdog. Denonia.
Ezek a kibertámadási kampányok napjaink egyik legtermékenyebb, felhőrendszereket célzó fenyegetései közé tartoznak – és az észlelés elkerülésére való képességük figyelmeztető jelzésként szolgálhat a lehetséges fenyegetésekről – részletezte ma itt egy biztonsági kutató.
„A közelmúltban a felhőre fókuszáló rosszindulatú programkampányok bebizonyították, hogy az ellenséges csoportok alapos ismeretekkel rendelkeznek a felhőtechnológiákról és azok biztonsági mechanizmusairól. És nem csak ez, hanem a saját hasznukra is használják” – mondta Matt Muir, a Cado Security fenyegetés-felderítő mérnöke, aki megosztotta a részleteket a csapata által tanulmányozott három kampányról.
Bár a három támadási kampány jelenleg a kriptominisztrációról szól, egyes technikáik aljasabb célokra is használhatók. A Muir csapata által tapasztalt ezek és más támadások többnyire a rosszul konfigurált felhőbeállításokat és egyéb hibákat használják ki. Ez a legtöbb esetben azt jelenti, hogy az ellenük való védekezés a felhő ügyféltáborába kerül Muir szerint.
„Reálisan az ilyen típusú támadások esetében több köze van a felhasználóhoz, mint a [felhő] szolgáltatóhoz” – mondja Muir a Dark Readingnek. „Nagyon opportunisták. Az általunk látott támadások többsége inkább a hibákkal kapcsolatos” – mondta a felhőügyfél.
Talán a legérdekesebb fejlemény ezeknél a támadásoknál az, hogy most a szerver nélküli számítástechnikát és konténereket célozzák meg – mondta. „A felhő-erőforrások veszélyeztetésének könnyűsége könnyű célponttá tette a felhőt” – mondta előadásában.Valós észlelési kijátszási technikák a felhőben. "
DoH, ez egy Cryptominer
A Denonia rosszindulatú AWS Lambda szerver nélküli környezeteket célozza meg a felhőben. „Úgy gondoljuk, hogy ez az első nyilvánosan közzétett rosszindulatú programminta, amely szerver nélküli környezeteket céloz meg” – mondta Muir. Míg maga a kampány a kriptominálásról szól, a támadók fejlett parancs- és vezérlési módszereket alkalmaznak, amelyek azt jelzik, hogy jól tanulmányozták a felhőtechnológiát.
A Denonia támadói olyan protokollt alkalmaznak, amely a DNS-t HTTPS-en keresztül valósítja meg (más néven DoH), amely DNS-lekérdezéseket küld HTTPS-en keresztül a DoH-alapú feloldószervereknek. Ez lehetőséget ad a támadóknak, hogy elrejtőzzenek a titkosított forgalomban, hogy az AWS ne tudja megnézni rosszindulatú DNS-kereséseiket. „Nem ez az első rosszindulatú program, amely a DoH-t használja, de biztosan nem gyakori” – mondta Muir. „Ez megakadályozza, hogy a rosszindulatú program riasztást adjon ki” az AWS-nél – mondta.
A támadók a jelek szerint több elterelést is bevetettek, hogy elvonják vagy megzavarják a biztonsági elemzőket, több ezer sornyi felhasználói ügynök HTTPS kérési karakterláncot.
„Először azt hittük, hogy ez egy botnet vagy DDoS… de az elemzésünkben valójában nem rosszindulatú programok használták”, hanem egy módja volt a bináris kitöltésének, hogy elkerüljük a végpontészlelési és válaszadási (EDR) eszközöket és a rosszindulatú programok elemzését. , ő mondta.
További Cryptojacking CoinStomp és Watchdog segítségével
A CoinStomp egy felhőben natív rosszindulatú program, amely Ázsiában a felhőalapú biztonsági szolgáltatókat célozza meg titkosítási célokra. A fő modus operandi az időbélyeg-manipuláció, mint kriminalisztika elleni technika, valamint a rendszer kriptográfiai irányelveinek eltávolítása. Ezenkívül egy dev/tcp fordított shell-alapú C2 családot használ a felhőrendszerek Unix-környezeteibe való beolvadáshoz.
Watchdogeközben 2019 óta létezik, és az egyik legjelentősebb felhőközpontú fenyegetett csoport, jegyezte meg Muir. „Oportunisták a felhő hibás konfigurációjának kihasználásában, [ezeket a hibákat] tömeges vizsgálattal észlelik.”
A támadók a régi iskolai szteganográfiára támaszkodnak, hogy elkerüljék az észlelést, és a kártevőket képfájlok mögé rejtik.
„Érdekes pontnál tartunk a felhőalapú rosszindulatú programok kutatásában” – fejezte be Muir. "A kampányok még mindig hiányosak a technikailag, ami jó hír a védők számára."
De van még hátra. Muir szerint „a fenyegetés szereplői egyre kifinomultabbak”, és valószínűleg a kriptominálásról a károsabb támadásokra fognak áttérni.
