BLACK HAT EUROPE 2022 – ロンドン – コインストンプ. ウォッチドッグ. デノニア.
これらのサイバー攻撃キャンペーンは、クラウド システムを標的とする今日最も多作な脅威の XNUMX つであり、検出を回避する能力は、今後の潜在的な脅威の警告として役立つはずです。
「最近のクラウドに焦点を当てたマルウェア キャンペーンは、攻撃者グループがクラウド テクノロジーとそのセキュリティ メカニズムについて深い知識を持っていることを示しています。 それだけでなく、彼らはそれを有利に利用しています。」
現時点では、XNUMX つの攻撃キャンペーンはすべてクリプトマイニングに関するものですが、その手法の一部は、より悪質な目的に使用される可能性があります。 そして、Muir のチームが確認したこれらの攻撃やその他の攻撃のほとんどは、クラウド設定の構成ミスやその他の間違いを悪用したものです。 Muir 氏によると、それはほとんどの場合、クラウド カスタマー キャンプでそれらを防御することを意味します。
「現実的には、この種の攻撃は [クラウド] サービス プロバイダーよりもユーザーに関係があります」と Muir 氏は Dark Reading に語っています。 「彼らは非常に日和見主義です。 私たちが目にする攻撃の大部分は、クラウドの顧客による間違いに関係しています」と彼は言いました。
おそらく、これらの攻撃の最も興味深い展開は、サーバーレス コンピューティングとコンテナーを標的にしているということです。 「クラウド リソースが簡単に侵害される可能性があるため、クラウドは格好の標的になっています」と彼はプレゼンテーションで述べました。クラウドでの実世界の検出回避技術に設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」
DoH、クリプトマイナーです
Denonia マルウェアは、クラウド内の AWS Lambda サーバーレス環境を標的にしています。 「これは、サーバーレス環境を標的とした最初の公開されたマルウェア サンプルであると考えています」と Muir 氏は述べています。 キャンペーン自体はクリプトマイニングに関するものですが、攻撃者は高度なコマンド アンド コントロール手法を採用しており、クラウド テクノロジーについて十分に研究されていることがうかがえます。
Denonia の攻撃者は、DNS over HTTPS (別名 DoH) を実装するプロトコルを採用しており、DNS クエリを HTTPS 経由で DoH ベースのリゾルバー サーバーに送信します。 これにより、攻撃者は、暗号化されたトラフィック内に隠れて、AWS が悪意のある DNS ルックアップを表示できないようにすることができます。 「DoH を利用するマルウェアはこれが初めてではありませんが、よくあることではありません」と Muir 氏は述べています。 「これにより、マルウェアが AWS でアラートをトリガーするのを防ぐことができます」と彼は言いました。
攻撃者はまた、セキュリティ アナリストの注意をそらしたり混乱させたりするために、何千行ものユーザー エージェントの HTTPS リクエスト文字列をさらに流用したようです。
「最初は、ボットネットまたは DDoS である可能性があると考えていました…しかし、分析では、実際にはマルウェアによって使用されていませんでした」代わりに、エンドポイント検出および応答 (EDR) ツールとマルウェア分析を回避するためにバイナリをパディングする方法でした。 、 彼は言った。
CoinStomp と Watchdog によるさらなるクリプトジャッキング
CoinStomp は、クリプトジャッキングを目的としてアジアのクラウド セキュリティ プロバイダーを標的とするクラウドネイティブ マルウェアです。 そのメイン 手口 システムの暗号化ポリシーを削除するだけでなく、アンチフォレンジック手法としてのタイムスタンプ操作です。 また、dev/tcp リバース シェルに基づく C2 ファミリを使用して、クラウド システムの Unix 環境に溶け込みます。
ウォッチドッグ一方、2019 年から存在しており、クラウドに焦点を当てた最も著名な脅威グループの XNUMX つだと Muir 氏は述べています。 「彼らは日和見的にクラウドの設定ミスを悪用し、大量スキャンによって [それらのミスを検出します。]
また、攻撃者は昔ながらのステガノグラフィーを利用して検出を回避し、マルウェアを画像ファイルの背後に隠しています。
「私たちは、クラウド マルウェアの研究において興味深い点に来ています」と Muir 氏は締めくくりました。 「キャンペーンは依然として技術面でいくらか欠けていますが、これはディフェンダーにとって朗報です。」
しかし、まだ続きがあります。 Muir 氏によると、「攻撃者はますます巧妙化しており」、クリプトマイニングからより被害の大きい攻撃へと移行する可能性が高いとのことです。
