BLACK HAT EUROPE 2022 – Londra – CoinStomp. Cane da guardia. Denia.
Queste campagne di attacco informatico sono oggi tra le minacce più prolifiche che prendono di mira i sistemi cloud e la loro capacità di eludere il rilevamento dovrebbe servire da ammonimento delle potenziali minacce in arrivo, ha spiegato un ricercatore di sicurezza qui oggi.
“Recenti campagne di malware incentrate sul cloud hanno dimostrato che i gruppi di avversari hanno una profonda conoscenza delle tecnologie cloud e dei loro meccanismi di sicurezza. E non solo, lo stanno usando a proprio vantaggio", ha affermato Matt Muir, ingegnere di intelligence sulle minacce per Cado Security, che ha condiviso i dettagli su quelle tre campagne che il suo team ha studiato.
Sebbene a questo punto le tre campagne di attacco riguardino esclusivamente il cryptomining, alcune delle loro tecniche potrebbero essere utilizzate per scopi più nefandi. E per la maggior parte, questi e altri attacchi che il team di Muir ha visto sfruttano impostazioni cloud mal configurate e altri errori. Ciò significa per la maggior parte difendersi contro di loro atterra nel campo dei clienti cloud, secondo Muir.
"Realisticamente per questo tipo di attacchi, ha più a che fare con l'utente che con il fornitore di servizi [cloud]", dice Muir a Dark Reading. “Sono molto opportunisti. La maggior parte degli attacchi che vediamo ha più a che fare con gli errori" da parte del cliente cloud, ha affermato.
Forse lo sviluppo più interessante di questi attacchi è che ora stanno prendendo di mira l'elaborazione e i contenitori serverless, ha affermato. "La facilità con cui le risorse cloud possono essere compromesse ha reso il cloud un bersaglio facile", ha affermato nella sua presentazione, "Tecniche di evasione del rilevamento nel mondo reale nel cloud. "
DoH, è un Cryptominer
Il malware Denonia prende di mira gli ambienti serverless AWS Lambda nel cloud. "Riteniamo che sia il primo campione di malware divulgato pubblicamente a prendere di mira ambienti serverless", ha affermato Muir. Sebbene la campagna stessa riguardi il cryptomining, gli aggressori utilizzano alcuni metodi di comando e controllo avanzati che indicano che sono ben studiati nella tecnologia cloud.
Gli aggressori Denonia utilizzano un protocollo che implementa DNS su HTTPS (noto anche come DoH), che invia query DNS su HTTPS ai server resolver basati su DoH. Ciò offre agli aggressori un modo per nascondersi all'interno del traffico crittografato in modo tale che AWS non possa visualizzare le loro ricerche DNS dannose. "Non è il primo malware che fa uso di DoH, ma certamente non è un evento comune", ha detto Muir. "Questo impedisce al malware di attivare un avviso" con AWS, ha affermato.
Sembrava anche che gli aggressori avessero lanciato più diversivi per distrarre o confondere gli analisti della sicurezza, migliaia di righe di stringhe di richiesta HTTPS dell'agente utente.
"All'inizio pensavamo che potesse trattarsi di una botnet o di un DDoS... ma nella nostra analisi non era effettivamente utilizzato dal malware" e invece era un modo per riempire il file binario al fine di eludere gli strumenti di rilevamento e risposta degli endpoint (EDR) e l'analisi del malware , Egli ha detto.
Più criptovalute con CoinStomp e Watchdog
CoinStomp è un malware nativo del cloud che prende di mira i fornitori di sicurezza cloud in Asia per scopi di cryptojacking. Il suo principale modus operandi è la manipolazione del timestamp come tecnica anti-forense, oltre a rimuovere le politiche crittografiche del sistema. Utilizza anche una famiglia C2 basata su una shell inversa dev/tcp per integrarsi negli ambienti Unix dei sistemi cloud.
Cane da guardia, nel frattempo, esiste dal 2019 ed è uno dei più importanti gruppi di minacce incentrati sul cloud, ha osservato Muir. "Sono opportunisti nello sfruttare l'errata configurazione del cloud, [rilevando quegli errori] mediante la scansione di massa".
Gli aggressori si affidano anche alla steganografia della vecchia scuola per eludere il rilevamento, nascondendo il loro malware dietro i file di immagine.
"Siamo a un punto interessante nella ricerca sul cloud malware", ha concluso Muir. "Le campagne mancano ancora di tecnicismo, il che è una buona notizia per i difensori".
Ma c'è di più in arrivo. "Gli attori delle minacce stanno diventando più sofisticati" e probabilmente passeranno dal cryptomining ad attacchi più dannosi, secondo Muir.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
