3 moduri în care atacatorii ocolesc securitatea în cloud

BLACK HAT EUROPE 2022 – Londra – CoinStomp. Watchdog. Denonia.

Aceste campanii de atac cibernetic sunt printre cele mai prolifice amenințări care vizează astăzi sistemele cloud – iar capacitatea lor de a se sustrage de la detecție ar trebui să servească drept o poveste de avertizare cu privire la potențialele amenințări care vor apărea, a detaliat astăzi un cercetător de securitate.

„Recentele campanii de malware centrate pe cloud au demonstrat că grupurile adverse au cunoștințe intime despre tehnologiile cloud și mecanismele lor de securitate. Și nu numai atât, ei folosesc asta în avantajul lor”, a spus Matt Muir, inginer de informații despre amenințări pentru Cado Security, care a împărtășit detalii despre acele trei campanii pe care echipa sa le-a studiat.

În timp ce cele trei campanii de atac se referă la criptomining în acest moment, unele dintre tehnicile lor ar putea fi folosite în scopuri mai nefaste. Și, în cea mai mare parte, aceste și alte atacuri pe care echipa lui Muir le-a văzut exploatează setările cloud configurate greșit și alte greșeli. În cea mai mare parte, asta înseamnă apărarea împotriva lor, în tabăra clienților din cloud, potrivit lui Muir.

„În mod realist, pentru aceste tipuri de atacuri, are mai mult de-a face cu utilizatorul decât cu furnizorul de servicii [cloud]”, a spus Muir pentru Dark Reading. „Sunt foarte oportuniști. Majoritatea atacurilor pe care le vedem au mai mult de-a face cu greșeli” ale clientului cloud, a spus el.

Poate cea mai interesantă dezvoltare a acestor atacuri este că acestea vizează acum calculatoare și containere fără server, a spus el. „Ușurința cu care resursele cloud pot fi compromise a făcut din cloud o țintă ușoară”, a spus el în prezentarea sa, „Tehnici de evaziune a detectării din lumea reală în cloud. "

DoH, este un Cryptominer

Malware Denonia vizează mediile fără server AWS Lambda din cloud. „Credem că este primul eșantion de malware divulgat public care țintește medii fără server”, a spus Muir. În timp ce campania în sine se referă la criptomining, atacatorii folosesc câteva metode avansate de comandă și control care indică că sunt bine studiati în tehnologia cloud.

Atacatorii Denonia folosesc un protocol care implementează DNS peste HTTPS (aka DoH), care trimite interogări DNS prin HTTPS către serverele de rezoluție bazate pe DoH. Acest lucru le oferă atacatorilor o modalitate de a se ascunde în traficul criptat, astfel încât AWS să nu poată vizualiza căutările lor DNS rău intenționate. „Nu este primul malware care utilizează DoH, dar cu siguranță nu este o întâmplare comună”, a spus Muir. „Acest lucru împiedică malware-ul să declanșeze o alertă” cu AWS, a spus el.

Atacatorii păreau, de asemenea, să fi introdus mai multe diversiuni pentru a distrage atenția sau a încurca analiștii de securitate, mii de linii de șiruri de solicitări HTTPS ale agenților de utilizator.

„La început am crezut că ar putea fi o rețea botnet sau DDoS... dar în analiza noastră nu a fost folosit de fapt de malware” și, în schimb, a fost o modalitate de a completa binarul pentru a evita instrumentele de detectare și răspuns (EDR) și analiza malware. , el a spus.

Mai multe Cryptojacking cu CoinStomp și Watchdog

CoinStomp este un malware nativ din cloud care vizează furnizorii de securitate cloud din Asia în scopuri de criptojacking. Este important modus operandi este manipularea marcajului de timp ca tehnică anti-legală, precum și eliminarea politicilor criptografice ale sistemului. De asemenea, folosește o familie C2 bazată pe un shell invers dev/tcp pentru a se integra în mediile Unix ale sistemelor cloud.

WatchdogÎntre timp, există din 2019 și este unul dintre cele mai proeminente grupuri de amenințări concentrate pe cloud, a remarcat Muir. „Sunt oportuniști în exploatarea configurației greșite a cloud-ului, [detectarea acelor greșeli] prin scanare în masă.”

Atacatorii se bazează, de asemenea, pe steganografia veche pentru a evita detectarea, ascunzându-și malware-ul în spatele fișierelor de imagine.

„Ne aflăm într-un punct interesant în cercetarea programelor malware în cloud”, a concluzionat Muir. „Campaniile încă sunt oarecum lipsite de tehnică, ceea ce este o veste bună pentru fundași.”

Dar mai urmează. „Actorii amenințărilor devin din ce în ce mai sofisticați” și probabil vor trece de la criptominări la atacuri mai dăunătoare, potrivit lui Muir.