3 способа, которыми злоумышленники обходят облачную безопасность

ЧЕРНАЯ ШЛЯПА ЕВРОПА 2022 – Лондон – МонетаStomp. Сторожевой пес. Денония.

Эти кампании кибератак являются одними из самых распространенных сегодня угроз, нацеленных на облачные системы, и их способность уклоняться от обнаружения должна служить предостережением о потенциальных угрозах, подробно рассказал сегодня здесь исследователь безопасности.

«Недавние кампании по распространению вредоносного ПО, ориентированные на облачные технологии, продемонстрировали, что группы злоумышленников хорошо знакомы с облачными технологиями и их механизмами безопасности. И не только это, они используют это в своих интересах», — сказал Мэтт Мьюир, инженер по анализу угроз Cado Security, который поделился подробностями о тех трех кампаниях, которые изучала его команда.

Хотя на данный момент все три кампании атак связаны с криптомайнингом, некоторые из их методов могут быть использованы для более гнусных целей. И по большей части эти и другие атаки, с которыми столкнулась команда Мьюира, используют неправильно настроенные облачные настройки и другие ошибки. По словам Мьюира, это по большей части означает защиту от них в лагере облачных клиентов.

«На самом деле, для таких видов атак это больше связано с пользователем, чем с поставщиком [облачных] услуг», — говорит Мьюир Dark Reading. «Они очень оппортунистичны. Большинство атак, которые мы наблюдаем, в большей степени связаны с ошибками пользователей облачных сервисов, — сказал он.

Возможно, самое интересное развитие этих атак заключается в том, что теперь они нацелены на бессерверные вычисления и контейнеры, сказал он. «Легкость взлома облачных ресурсов сделала облако легкой мишенью, — сказал он в своей презентации, —Реальные методы уклонения от обнаружения в облаке".

DoH, это криптомайнер

Вредоносное ПО Denonia нацелено на бессерверные среды AWS Lambda в облаке. «Мы считаем, что это первый публично обнародованный образец вредоносного ПО для бессерверных сред, — сказал Мьюир. Хотя сама кампания посвящена криптомайнингу, злоумышленники используют некоторые передовые методы управления и контроля, которые указывают на то, что они хорошо знакомы с облачными технологиями.

Злоумышленники Denonia используют протокол, который реализует DNS через HTTPS (также известный как DoH), который отправляет DNS-запросы через HTTPS на серверы-преобразователи на основе DoH. Это дает злоумышленникам возможность спрятаться в зашифрованном трафике, чтобы AWS не мог просматривать их вредоносные запросы DNS. «Это не первая вредоносная программа, использующая DoH, но это, конечно, не обычное явление», — сказал Мьюир. «Это не позволяет вредоносным программам вызывать оповещения» с AWS, — сказал он.

Злоумышленники также, похоже, добавили больше отвлекающих факторов, чтобы отвлечь или сбить с толку аналитиков безопасности, тысячи строк HTTPS-запросов пользовательского агента.

«Сначала мы подумали, что это может быть ботнет или DDoS… но в нашем анализе это на самом деле не использовалось вредоносным ПО», а вместо этого было способом дополнить двоичный файл, чтобы избежать инструментов обнаружения и реагирования на конечных точках (EDR) и анализа вредоносных программ. , он сказал.

Больше криптоджекинга с CoinStomp и Watchdog

CoinStomp — это облачное вредоносное ПО, нацеленное на провайдеров облачной безопасности в Азии для целей криптоджекинга. Его главная образ действия это манипулирование временными метками в качестве метода защиты от криминалистики, а также удаление системных криптографических политик. Он также использует семейство C2, основанное на обратной оболочке dev/tcp, для интеграции со средами Unix облачных систем.

Сторожевой песМежду тем, существует с 2019 года и является одной из наиболее известных групп угроз, ориентированных на облачные технологии, отметил Мьюир. «Они авантюристически используют неправильную конфигурацию облака, [выявляя эти ошибки] путем массового сканирования».

Злоумышленники также полагаются на стеганографию старой школы, чтобы избежать обнаружения, скрывая свое вредоносное ПО за файлами изображений.

«Мы находимся на интересном этапе исследования облачных вредоносных программ, — заключил Мьюир. «Кампаниям по-прежнему не хватает техничности, что является хорошей новостью для защитников».

Но это еще не все. По словам Мьюира, «субъекты угроз становятся все более изощренными» и, вероятно, перейдут от криптомайнинга к более разрушительным атакам.