3 maneiras pelas quais os invasores contornam a segurança da nuvem

BLACK HAT EUROPE 2022 – Londres – CoinStomp. Cão de guarda. Denônia.

Essas campanhas de ataque cibernético estão entre as ameaças mais prolíficas hoje direcionadas aos sistemas em nuvem - e sua capacidade de evitar a detecção deve servir como um alerta sobre possíveis ameaças futuras, detalhou um pesquisador de segurança aqui hoje.

“Campanhas recentes de malware com foco na nuvem demonstraram que os grupos adversários têm conhecimento íntimo das tecnologias de nuvem e seus mecanismos de segurança. E não apenas isso, eles estão usando isso a seu favor”, disse Matt Muir, engenheiro de inteligência de ameaças da Cado Security, que compartilhou detalhes sobre essas três campanhas que sua equipe estudou.

Embora as três campanhas de ataque sejam sobre criptomineração neste momento, algumas de suas técnicas podem ser usadas para fins mais nefastos. E, na maioria das vezes, esses e outros ataques que a equipe de Muir viu estão explorando configurações de nuvem mal configuradas e outros erros. Isso, na maior parte, significa defender-se contra eles no campo do cliente da nuvem, de acordo com Muir.

“Realisticamente, para esses tipos de ataques, tem mais a ver com o usuário do que com o provedor de serviços [em nuvem]”, disse Muir ao Dark Reading. “Eles são muito oportunistas. A maioria dos ataques que vemos tem mais a ver com erros” do cliente da nuvem, disse ele.

Talvez o desenvolvimento mais interessante desses ataques seja que agora eles visam a computação sem servidor e contêineres, disse ele. “A facilidade com que os recursos da nuvem podem ser comprometidos tornou a nuvem um alvo fácil”, disse ele em sua apresentação, “Técnicas de evasão de detecção do mundo real na nuvem. "

DoH, é um criptominerador

O malware Denonia visa ambientes sem servidor AWS Lambda na nuvem. “Acreditamos que é a primeira amostra de malware divulgada publicamente para atingir ambientes sem servidor”, disse Muir. Embora a campanha em si seja sobre criptomineração, os invasores empregam alguns métodos avançados de comando e controle que indicam que eles são bem estudados em tecnologia de nuvem.

Os invasores Denonia empregam um protocolo que implementa DNS sobre HTTPS (também conhecido como DoH), que envia consultas DNS por HTTPS para servidores resolvedores baseados em DoH. Isso dá aos invasores uma maneira de se esconder no tráfego criptografado, de modo que a AWS não possa visualizar suas pesquisas de DNS maliciosas. “Não é o primeiro malware a fazer uso do DoH, mas certamente não é uma ocorrência comum”, disse Muir. “Isso evita que o malware dispare um alerta” com a AWS, disse ele.

Os invasores também parecem ter lançado mais distrações para distrair ou confundir os analistas de segurança, milhares de linhas de strings de solicitação HTTPS do agente do usuário.

“No começo, pensamos que poderia ser um botnet ou DDoS… , ele disse.

Mais Cryptojacking com CoinStomp e Watchdog

CoinStomp é um malware nativo da nuvem direcionado a provedores de segurança na nuvem na Ásia para fins de criptojacking. Seu principal modus operandi é a manipulação de timestamp como uma técnica anti-forense, bem como a remoção de políticas criptográficas do sistema. Ele também usa uma família C2 baseada em um shell reverso dev/tcp para se misturar aos ambientes Unix dos sistemas em nuvem.

Cão de guarda, enquanto isso, existe desde 2019 e é um dos grupos de ameaças com foco na nuvem mais proeminentes, observou Muir. “Eles são oportunistas em explorar a configuração incorreta da nuvem, [detectando esses erros] por varredura em massa.”

Os invasores também contam com a esteganografia tradicional para evitar a detecção, escondendo seu malware atrás de arquivos de imagem.

“Estamos em um ponto interessante na pesquisa de malware na nuvem”, concluiu Muir. “As campanhas ainda carecem de tecnicismo, o que é uma boa notícia para os defensores.”

Mas há mais por vir. “Atores de ameaças estão se tornando mais sofisticados” e provavelmente passarão da criptomineração para ataques mais prejudiciais, de acordo com Muir.