כובע שחור אירופה 2022 – לונדון – CoinStomp. כלב שמירה. דנוניה.
קמפיינים אלה של מתקפות סייבר הם מהאיומים הפוריים ביותר כיום המכוונים למערכות ענן - והיכולת שלהם להתחמק מזיהוי צריכה לשמש סיפור אזהרה לגבי איומים פוטנציאליים שיגיעו, פירט חוקר אבטחה כאן היום.
"קמפיינים אחרונים של תוכנות זדוניות ממוקדות ענן הוכיחו שלקבוצות יריבות יש ידע אינטימי בטכנולוגיות הענן ובמנגנוני האבטחה שלהן. ולא רק זה, הם משתמשים בזה לטובתם", אמר מאט מיור, מהנדס מודיעין איומים ב-Cado Security, ששיתף פרטים על שלושת הקמפיינים הללו שהצוות שלו למד.
בעוד ששלושת מסעות הפרסום של ההתקפה עוסקים בשלב זה בהצפנה, חלק מהטכניקות שלהם יכולות לשמש למטרות מרושעות יותר. ולרוב, התקפות אלו ואחרות שהצוות של מיור ראה הן ניצול הגדרות ענן שגויות וטעויות אחרות. זה על פי רוב אומר הגנה מפניהם נוחתת במחנה הלקוחות בענן, לדברי מיור.
"באופן מציאותי עבור סוגים אלה של התקפות, זה קשור יותר למשתמש מאשר לספק השירות [ענן]", אומר מיור ל-Dark Reading. "הם מאוד אופורטוניסטים. רוב ההתקפות שאנו רואים קשורות יותר לטעויות" של לקוח הענן, אמר.
אולי ההתפתחות המעניינת ביותר עם ההתקפות הללו היא שהן מכוונות כעת למחשוב ומכולות ללא שרתים, הוא אמר. "הקלות שבה ניתן להתפשר על משאבי ענן הפכה את הענן למטרה קלה", אמר במצגת שלו, "טכניקות התחמקות לגילוי בעולם האמיתי בענן".
דוה, זה קריפטומינר
תוכנת זדונית Denonia מתמקדת בסביבות ללא שרתים של AWS Lambda בענן. "אנחנו מאמינים שזו הדגימה הראשונה של תוכנות זדוניות שנחשפו בפומבי שמתמקדות בסביבות ללא שרתים", אמר מיור. בעוד שהקמפיין עצמו עוסק בהצפנה, התוקפים משתמשים בכמה שיטות שליטה ובקרה מתקדמות המצביעות על כך שהם נלמדים היטב בטכנולוגיית ענן.
התוקפים של דנוניה משתמשים בפרוטוקול שמיישם DNS על HTTPS (הידוע גם בשם DoH), ששולח שאילתות DNS דרך HTTPS לשרתי Resolver מבוססי DoH. זה נותן לתוקפים דרך להתחבא בתוך תעבורה מוצפנת כך ש-AWS לא יוכל לראות את חיפושי ה-DNS הזדוניים שלהם. "זו לא התוכנה הזדונית הראשונה שעושה שימוש ב-DoH, אבל זה בהחלט לא תופעה שכיחה", אמר מיור. "זה מונע מהתוכנה הזדונית להפעיל התראה" עם AWS, אמר.
נראה שהתוקפים גם זרקו עוד הסחות דעת כדי להסיח את דעתם או לבלבל מנתחי אבטחה, אלפי שורות של מחרוזות בקשות HTTPS של סוכן משתמש.
"בהתחלה חשבנו שזה יכול להיות רשת בוט או DDoS... אבל בניתוח שלנו זה לא היה בשימוש על ידי תוכנות זדוניות" ובמקום זאת הייתה דרך לרפד את הבינארי על מנת להתחמק מכלי זיהוי ותגובה של נקודות קצה (EDR) וניתוח תוכנות זדוניות , הוא אמר.
עוד חטיפי קריפטו עם CoinStomp ו-Watchdog
CoinStomp היא תוכנה זדונית מקורית בענן המכוונת לספקי אבטחת ענן באסיה למטרות חטיפת קריפטו. העיקרי שלה דרך פעולה היא מניפולציה של חותמות זמן כטכניקה נגד זיהוי פלילי, כמו גם הסרת מדיניות קריפטוגרפית של המערכת. הוא גם משתמש במשפחת C2 המבוססת על מעטפת הפוכה של dev/tcp כדי להשתלב בסביבות Unix של מערכות ענן.
כלב שמירה, בינתיים, קיימת מאז 2019 והיא אחת מקבוצות האיומים הבולטות יותר ממוקדות ענן, ציין מיור. "הם אופורטוניסטים בניצול תצורה שגויה של ענן, [זיהוי הטעויות הללו] על ידי סריקה המונית."
התוקפים מסתמכים גם על סטגנוגרפיה מהאסכולה הישנה כדי להתחמק מזיהוי, ולהסתיר את התוכנה הזדונית שלהם מאחורי קובצי תמונה.
"אנחנו בנקודה מעניינת בחקר תוכנות זדוניות בענן", סיכם מיור. "קמפיינים עדיין חסרים מעט טכניות, וזה חדשות טובות למגנים".
אבל יש עוד לבוא. לדברי מיור, "שחקני האיום הופכים מתוחכמים יותר" וסביר להניח שיעברו מ-cryptoming להתקפות מזיקות יותר.
