BLACK HAT EUROPE 2022 – London – CoinStomp. Watchdog. Denonia.
Disse nettangrepskampanjene er blant de mest produktive truslene i dag rettet mot skysystemer – og deres evne til å unndra seg oppdagelse bør tjene som en advarsel om potensielle trusler som kommer, sa en sikkerhetsforsker detaljert her i dag.
"Nylige skyfokuserte malware-kampanjer har vist at motstandsgrupper har inngående kunnskap om skyteknologier og deres sikkerhetsmekanismer. Og ikke bare det, de bruker det til sin fordel," sa Matt Muir, trusseletterretningsingeniør for Cado Security, som delte detaljer om de tre kampanjene hans team har studert.
Mens de tre angrepskampanjene handler om kryptominering på dette tidspunktet, kan noen av teknikkene deres brukes til mer ondsinnede formål. Og for det meste utnytter disse og andre angrepene Muirs team har sett feilkonfigurerte skyinnstillinger og andre feil. Det betyr for det meste at forsvar mot dem lander i skykundeleiren, ifølge Muir.
"Realistisk for denne typen angrep har det mer å gjøre med brukeren enn [sky]-tjenesteleverandøren," forteller Muir til Dark Reading. – De er veldig opportunistiske. De fleste angrepene vi ser har mer å gjøre med feil» fra skykunden, sa han.
Den kanskje mest interessante utviklingen med disse angrepene er at de nå retter seg mot serverløs databehandling og containere, sa han. "Den enkle skyressursene som kan kompromitteres har gjort skyen til et enkelt mål," sa han i sin presentasjon, "Real-World Detection Evasion Techniques in the Cloud».
DoH, det er en Cryptominer
Denonia malware retter seg mot AWS Lambda serverløse miljøer i skyen. "Vi tror det er den første offentlig avslørte prøven av skadelig programvare som er målrettet mot serverløse miljøer," sa Muir. Mens selve kampanjen handler om kryptominering, bruker angriperne noen avanserte kommando- og kontrollmetoder som indikerer at de er godt studert innen skyteknologi.
Denonia-angriperne bruker en protokoll som implementerer DNS over HTTPS (aka DoH), som sender DNS-spørringer over HTTPS til DoH-baserte resolverservere. Det gir angriperne en måte å gjemme seg i kryptert trafikk slik at AWS ikke kan se deres ondsinnede DNS-oppslag. "Det er ikke den første malware som bruker DoH, men det er absolutt ikke en vanlig forekomst," sa Muir. "Dette forhindrer skadelig programvare i å utløse et varsel" med AWS, sa han.
Angriperne så også ut til å ha kastet inn flere avledninger for å distrahere eller forvirre sikkerhetsanalytikere, tusenvis av linjer med HTTPS-forespørselstrenger for brukeragenter.
"Først trodde vi at det kunne være et botnett eller DDoS ... men i vår analyse ble det faktisk ikke brukt av skadelig programvare" og var i stedet en måte å fylle binæren på for å unngå verktøy for endepunktdeteksjon og -respons (EDR) og skadevareanalyse , han sa.
Mer Cryptojacking med CoinStomp og Watchdog
CoinStomp er skybasert skadelig programvare som retter seg mot leverandører av skysikkerhet i Asia for kryptojacking-formål. Dens viktigste Juicy Fruit er tidsstempelmanipulasjon som en anti-kriminalteknisk teknikk, samt fjerning av systemkryptografiske retningslinjer. Den bruker også en C2-familie basert på et dev/tcp omvendt skall for å blande seg inn i skysystemenes Unix-miljøer.
Watchdog, i mellomtiden, har eksistert siden 2019 og er en av de mer fremtredende skyfokuserte trusselgruppene, bemerket Muir. "De er opportunistiske når det gjelder å utnytte skyfeilkonfigurasjon, [oppdage disse feilene] ved masseskanning."
Angriperne er også avhengige av gammeldags steganografi for å unngå oppdagelse, og skjuler malware bak bildefiler.
"Vi er på et interessant punkt i forskning på skymalware," konkluderte Muir. "Kampanjer mangler fortsatt noe teknisk, noe som er gode nyheter for forsvarere."
Men det kommer mer. "Trusselaktører blir mer sofistikerte" og vil sannsynligvis gå fra kryptominering til mer skadelige angrep, ifølge Muir.
