BLACK HAT EROPA 2022 – London – Menginjak koin. Penjaga. Denonia.
Kampanye serangan dunia maya ini adalah salah satu ancaman paling produktif saat ini yang menargetkan sistem cloud — dan kemampuan mereka untuk menghindari deteksi harus berfungsi sebagai peringatan tentang potensi ancaman yang akan datang, seorang peneliti keamanan merinci di sini hari ini.
“Kampanye malware yang berfokus pada cloud baru-baru ini telah menunjukkan bahwa kelompok musuh memiliki pengetahuan mendalam tentang teknologi cloud dan mekanisme keamanan mereka. Dan tidak hanya itu, mereka menggunakannya untuk keuntungan mereka, ”kata Matt Muir, insinyur intelijen ancaman untuk Cado Security, yang membagikan detail tentang tiga kampanye yang telah dipelajari timnya.
Sementara tiga kampanye serangan semuanya tentang cryptomining pada saat ini, beberapa teknik mereka dapat digunakan untuk tujuan yang lebih jahat. Dan sebagian besar, ini dan serangan lain yang dilihat tim Muir mengeksploitasi pengaturan cloud yang salah konfigurasi dan kesalahan lainnya. Itu sebagian besar berarti bertahan melawan mereka mendarat di kamp pelanggan cloud, menurut Muir.
“Secara realistis untuk jenis serangan ini, ini lebih berkaitan dengan pengguna daripada penyedia layanan [cloud],” kata Muir kepada Dark Reading. “Mereka sangat oportunistik. Sebagian besar serangan yang kami lihat lebih berkaitan dengan kesalahan” oleh pelanggan cloud, katanya.
Mungkin perkembangan yang paling menarik dari serangan ini adalah bahwa mereka sekarang menargetkan komputasi dan wadah tanpa server, katanya. “Kemudahan sumber daya cloud dapat dikompromikan telah menjadikan cloud sebagai sasaran empuk,” katanya dalam presentasinya, “Teknik Evasion Deteksi Dunia Nyata di Cloud. "
DoH, Ini adalah Cryptominer
Malware Denonia menargetkan lingkungan tanpa server AWS Lambda di cloud. “Kami percaya ini adalah sampel malware pertama yang diungkapkan secara publik untuk menargetkan lingkungan tanpa server,” kata Muir. Sementara kampanye itu sendiri tentang cryptomining, penyerang menggunakan beberapa metode perintah dan kontrol lanjutan yang menunjukkan bahwa mereka telah mempelajari teknologi cloud dengan baik.
Penyerang Denonia menggunakan protokol yang mengimplementasikan DNS melalui HTTPS (alias DoH), yang mengirimkan kueri DNS melalui HTTPS ke server penyelesai berbasis DoH. Itu memberi penyerang cara untuk bersembunyi di dalam lalu lintas terenkripsi sehingga AWS tidak dapat melihat pencarian DNS berbahaya mereka. “Ini bukan malware pertama yang memanfaatkan DoH, tapi jelas bukan kejadian umum,” kata Muir. “Ini mencegah malware memicu peringatan” dengan AWS, katanya.
Penyerang juga tampaknya telah melakukan lebih banyak pengalihan untuk mengalihkan perhatian atau membingungkan analis keamanan, ribuan baris string permintaan HTTPS agen pengguna.
“Awalnya kami pikir itu mungkin botnet atau DDoS … tetapi dalam analisis kami, itu sebenarnya tidak digunakan oleh malware” dan sebaliknya merupakan cara untuk mengisi biner untuk menghindari alat deteksi & respons titik akhir (EDR) dan analisis malware , dia berkata.
Lebih Banyak Cryptojacking Dengan CoinStomp dan Watchdog
CoinStomp adalah malware cloud-native yang menargetkan penyedia keamanan cloud di Asia untuk tujuan cryptojacking. Utamanya modus operandi adalah manipulasi stempel waktu sebagai teknik anti-forensik, serta menghapus kebijakan kriptografi sistem. Itu juga menggunakan keluarga C2 berdasarkan shell balik dev/tcp untuk menyatu dengan lingkungan Unix sistem cloud.
Penjaga, sementara itu, telah ada sejak 2019 dan merupakan salah satu kelompok ancaman yang berfokus pada cloud yang lebih menonjol, catat Muir. “Mereka oportunistik dalam mengeksploitasi kesalahan konfigurasi cloud, [mendeteksi kesalahan tersebut] dengan pemindaian massal.”
Penyerang juga mengandalkan steganografi jadul untuk menghindari deteksi, menyembunyikan malware mereka di balik file gambar.
“Kami berada di titik yang menarik dalam penelitian cloud malware,” Muir menyimpulkan. "Kampanye masih kurang teknis, yang merupakan kabar baik bagi para pembela."
Tapi masih ada lagi yang akan datang. “Aktor ancaman menjadi lebih canggih” dan kemungkinan akan beralih dari penambangan kripto ke serangan yang lebih merusak, menurut Muir.
