3 sposoby atakujących na obejście zabezpieczeń w chmurze

BLACK HAT EUROPE 2022 – Londyn – CoinStomp. Watchdog. Denonia.

Te kampanie cyberataków należą obecnie do najbardziej płodnych zagrożeń wymierzonych w systemy chmurowe — a ich zdolność do unikania wykrycia powinna służyć jako przestroga przed potencjalnymi zagrożeniami, które mogą nadejść, jak opisał to dzisiaj badacz bezpieczeństwa.

„Niedawne kampanie złośliwego oprogramowania skoncentrowane na chmurze pokazały, że grupy przeciwników mają dogłębną wiedzę na temat technologii chmurowych i ich mechanizmów bezpieczeństwa. I nie tylko to, wykorzystują to na swoją korzyść” – powiedział Matt Muir, inżynier ds. analizy zagrożeń w firmie Cado Security, który podzielił się szczegółami dotyczącymi tych trzech kampanii, które zbadał jego zespół.

Chociaż w tym momencie wszystkie trzy kampanie ataków dotyczą wydobywania kryptowalut, niektóre z ich technik można wykorzystać do bardziej nikczemnych celów. W przeważającej części te i inne ataki, które zaobserwował zespół Muira, wykorzystują źle skonfigurowane ustawienia chmury i inne błędy. Według Muira w większości oznacza to obronę przed nimi w obozie klientów w chmurze.

„Realistycznie rzecz biorąc, w przypadku tego rodzaju ataków ma to więcej wspólnego z użytkownikiem niż z dostawcą usług [chmury]”, mówi Muir Dark Reading. „Są bardzo oportunistyczni. Większość ataków, które obserwujemy, ma więcej wspólnego z błędami” klienta chmury, powiedział.

Powiedział, że być może najbardziej interesującym rozwinięciem tych ataków jest to, że są one teraz ukierunkowane na przetwarzanie bezserwerowe i kontenery. „Łatwość, z jaką można zagrozić zasobom w chmurze, sprawiła, że ​​chmura stała się łatwym celem”, powiedział w swojej prezentacji, „Techniki unikania wykrywania w świecie rzeczywistym w chmurze".

DoH, to jest Cryptominer

Złośliwe oprogramowanie Denonia atakuje środowiska bezserwerowe AWS Lambda w chmurze. „Uważamy, że jest to pierwsza publicznie ujawniona próbka złośliwego oprogramowania atakująca środowiska bezserwerowe” — powiedział Muir. Podczas gdy sama kampania dotyczy wydobywania kryptowalut, osoby atakujące wykorzystują pewne zaawansowane metody dowodzenia i kontroli, które wskazują, że są dobrze przebadane w technologii chmury.

Atakujący Denonia wykorzystują protokół, który implementuje DNS przez HTTPS (aka DoH), który wysyła zapytania DNS przez HTTPS do serwerów rozpoznawania nazw opartych na DoH. Daje to atakującym sposób na ukrycie się w zaszyfrowanym ruchu, tak że AWS nie może zobaczyć ich złośliwych wyszukiwań DNS. „To nie pierwsze złośliwe oprogramowanie wykorzystujące DoH, ale z pewnością nie jest to częste zjawisko” — powiedział Muir. „Uniemożliwia to złośliwemu oprogramowaniu wywołanie alertu” w AWS, powiedział.

Wydaje się również, że osoby atakujące wrzuciły więcej przekierowań, aby odwrócić uwagę lub zmylić analityków bezpieczeństwa, tysiące wierszy ciągów żądań HTTPS agenta użytkownika.

„Na początku myśleliśmy, że może to być botnet lub atak DDoS… ale w naszej analizie nie był on faktycznie wykorzystywany przez złośliwe oprogramowanie”, a zamiast tego był sposobem na wypełnienie pliku binarnego w celu uniknięcia narzędzi do wykrywania i reagowania punktów końcowych (EDR) oraz analizy złośliwego oprogramowania , powiedział.

Więcej Cryptojackingu z CoinStomp i Watchdog

CoinStomp to złośliwe oprogramowanie natywne w chmurze, atakujące dostawców bezpieczeństwa w chmurze w Azji w celu przechwytywania kryptowalut. Jego główny modus operandi to manipulacja znacznikami czasu jako technika antykryminalistyczna, a także usuwanie zasad kryptograficznych systemu. Wykorzystuje również rodzinę C2 opartą na odwrotnej powłoce dev/tcp, aby wtopić się w środowiska uniksowe systemów chmurowych.

Watchdog, tymczasem istnieje od 2019 roku i jest jedną z bardziej widocznych grup zagrożeń skoncentrowanych na chmurze, zauważył Muir. „Oportuniści wykorzystują błędną konfigurację chmury [wykrywając te błędy] poprzez masowe skanowanie”.

Aby uniknąć wykrycia, osoby atakujące polegają również na starej steganografii, ukrywając złośliwe oprogramowanie za plikami graficznymi.

„Jesteśmy w interesującym punkcie badań nad złośliwym oprogramowaniem w chmurze” — podsumował Muir. „Kampaniom wciąż brakuje trochę szczegółów technicznych, co jest dobrą wiadomością dla obrońców”.

Ale to jeszcze nie wszystko. Według Muira „aktorzy zagrożeń stają się coraz bardziej wyrafinowani” i prawdopodobnie przejdą od kopania kryptowalut do bardziej szkodliwych ataków.