BLACK HAT EUROPA 2022 – Londen – MuntStomp. Waakhond. Denonia.
Deze cyberaanvalcampagnes behoren tot de meest productieve bedreigingen die zich tegenwoordig richten op cloudsystemen - en hun vermogen om detectie te omzeilen zou moeten dienen als een waarschuwing voor mogelijke toekomstige bedreigingen, een beveiligingsonderzoeker die hier vandaag wordt beschreven.
“Recente op de cloud gerichte malwarecampagnes hebben aangetoond dat vijandige groepen grondige kennis hebben van cloudtechnologieën en hun beveiligingsmechanismen. En dat niet alleen, ze gebruiken dat in hun voordeel”, zegt Matt Muir, Threat Intelligence Engineer voor Cado Security, die details deelde over de drie campagnes die zijn team heeft bestudeerd.
Hoewel de drie aanvalscampagnes op dit moment allemaal over cryptomining gaan, kunnen sommige van hun technieken voor meer snode doeleinden worden gebruikt. En voor het grootste deel maken deze en andere aanvallen die het team van Muir heeft gezien misbruik van verkeerd geconfigureerde cloudinstellingen en andere fouten. Dat betekent voor het grootste deel dat verdediging tegen hen in het klantenkamp van de cloud belandt, aldus Muir.
"Realistisch gezien heeft dit soort aanvallen meer te maken met de gebruiker dan met de [cloud]-serviceprovider", vertelt Muir aan Dark Reading. "Ze zijn erg opportunistisch. De meerderheid van de aanvallen die we zien hebben meer te maken met fouten” door de cloudklant, zei hij.
Misschien wel de meest interessante ontwikkeling met deze aanvallen is dat ze zich nu richten op serverloze computers en containers, zei hij. "Het gemak waarmee cloudbronnen kunnen worden gecompromitteerd, heeft de cloud tot een gemakkelijk doelwit gemaakt", zei hij in zijn presentatie, "Real-World Detection Evasion Techniques in de cloud. '
DoH, het is een cryptominer
Denonia-malware richt zich op AWS Lambda serverloze omgevingen in de cloud. "We geloven dat dit het eerste openbaar gemaakte malwaremonster is dat zich richt op serverloze omgevingen", aldus Muir. Hoewel de campagne zelf over cryptomining gaat, gebruiken de aanvallers een aantal geavanceerde commando- en controlemethoden die aangeven dat ze goed gestudeerd zijn in cloudtechnologie.
De Denonia-aanvallers gebruiken een protocol dat DNS via HTTPS (ook wel DoH genoemd) implementeert, dat DNS-query's via HTTPS naar DoH-gebaseerde resolverservers stuurt. Dat geeft de aanvallers een manier om zich te verbergen in versleuteld verkeer, zodat AWS hun kwaadaardige DNS-lookups niet kan zien. "Het is niet de eerste malware die DoH gebruikt, maar het komt zeker niet vaak voor", aldus Muir. "Dit voorkomt dat de malware een waarschuwing activeert" met AWS, zei hij.
De aanvallers leken ook meer omleidingen te hebben gebruikt om beveiligingsanalisten af te leiden of te verwarren, duizenden regels HTTPS-verzoekstrings van user-agents.
“Eerst dachten we dat het misschien een botnet of DDoS was … maar in onze analyse werd het niet echt gebruikt door malware” en in plaats daarvan was het een manier om het binaire bestand op te vullen om endpoint detection & response (EDR)-tools en malware-analyse te omzeilen , hij zei.
Meer cryptojacking met CoinStomp en Watchdog
CoinStomp is cloud-native malware gericht op cloud-beveiligingsproviders in Azië voor cryptojacking-doeleinden. De belangrijkste modus operandi is tijdstempelmanipulatie als een anti-forensische techniek, evenals het verwijderen van systeemcryptografisch beleid. Het maakt ook gebruik van een C2-familie op basis van een dev/tcp reverse shell om op te gaan in de Unix-omgevingen van cloudsystemen.
Waakhond, bestaat ondertussen al sinds 2019 en is een van de meer prominente op de cloud gerichte dreigingsgroepen, merkte Muir op. "Ze zijn opportunistisch in het exploiteren van verkeerde configuraties in de cloud, [het opsporen van die fouten] door massale scans."
De aanvallers vertrouwen ook op ouderwetse steganografie om detectie te omzeilen en hun malware achter afbeeldingsbestanden te verbergen.
"We bevinden ons op een interessant punt in het onderzoek naar cloud-malware", concludeert Muir. "Campagnes missen nog steeds wat technische details, wat goed nieuws is voor verdedigers."
Maar er komt nog meer. "Dreigers worden steeds geavanceerder" en zullen volgens Muir waarschijnlijk overstappen van cryptomining naar meer schadelijke aanvallen.
