BLACK HAT EUROPE 2022 – London – CoinStomp. Watchdog. Denonia.
Te kampanje kibernetskih napadov so danes med najplodnejšimi grožnjami, ki ciljajo na sisteme v oblaku – in njihova sposobnost, da se izognejo odkrivanju, bi morala služiti kot opozorilo o potencialnih grožnjah, ki prihajajo, je danes tukaj podrobno opisal varnostni raziskovalec.
»Nedavne kampanje zlonamerne programske opreme, osredotočene na oblak, so pokazale, da nasprotne skupine dobro poznajo tehnologije v oblaku in njihove varnostne mehanizme. In ne samo to, to uporabljajo sebi v prid,« je dejal Matt Muir, inženir za obveščanje o grožnjah za Cado Security, ki je delil podrobnosti o teh treh kampanjah, ki jih je preučevala njegova ekipa.
Medtem ko se tri napadalne kampanje na tej točki nanašajo samo na kripto rudarjenje, bi lahko nekatere njihove tehnike uporabili za bolj zlobne namene. Ti in drugi napadi, ki jih je opazila Muirova ekipa, večinoma izkoriščajo napačno konfigurirane nastavitve oblaka in druge napake. To večinoma pomeni obrambo pred njimi v taboru strank v oblaku, pravi Muir.
»Realno gledano je pri tovrstnih napadih bolj povezan z uporabnikom kot s ponudnikom storitev [v oblaku],« pravi Muir za Dark Reading. »So zelo oportunistični. Večina napadov, ki jih opazimo, je bolj povezana z napakami,« je dejal kupec v oblaku.
Morda je najbolj zanimiv razvoj teh napadov ta, da zdaj ciljajo na brezstrežniško računalništvo in vsebnike, je dejal. »Enostavnost, s katero je mogoče ogroziti vire v oblaku, je naredila oblak lahko tarčo,« je dejal v svoji predstavitvi, »Tehnike izogibanja zaznavanju v resničnem svetu v oblaku«.
DoH, to je kriptominer
Zlonamerna programska oprema Denonia cilja na brezstrežniška okolja AWS Lambda v oblaku. "Verjamemo, da je to prvi javno razkriti vzorec zlonamerne programske opreme, ki cilja na okolja brez strežnikov," je dejal Muir. Medtem ko se sama kampanja nanaša na kripto rudarjenje, napadalci uporabljajo nekatere napredne metode ukazovanja in nadzora, ki kažejo, da so dobro preučeni v tehnologiji oblaka.
Napadalci Denonia uporabljajo protokol, ki implementira DNS prek HTTPS (aka DoH), ki pošilja poizvedbe DNS prek HTTPS strežnikom za razreševanje na podlagi DoH. To napadalcem omogoča, da se skrijejo znotraj šifriranega prometa, tako da AWS ne more videti njihovih zlonamernih iskanj DNS. "To ni prva zlonamerna programska oprema, ki uporablja DoH, vendar zagotovo ni pogost pojav," je dejal Muir. "To preprečuje zlonamerni programski opremi, da sproži opozorilo" z AWS, je dejal.
Zdi se tudi, da so napadalci uporabili več preusmeritev, da bi odvrnili ali zmedli varnostne analitike, na tisoče vrstic nizov zahtev uporabniškega agenta HTTPS.
»Najprej smo mislili, da gre morda za botnet ali DDoS ... vendar ga v naši analizi dejansko ni uporabljala zlonamerna programska oprema«, ampak je bil namesto tega način za vstavljanje binarne datoteke, da bi se izognili orodjem za zaznavanje in odziv končne točke (EDR) ter analizi zlonamerne programske opreme , rekel je.
Več Cryptojackinga s CoinStomp in Watchdog
CoinStomp je zlonamerna programska oprema, ki izvira iz oblaka in cilja na ponudnike varnosti v oblaku v Aziji za namene kriptovaluta. Njegov glavni Juicy Fruit je manipulacija časovnega žiga kot tehnika proti forenziki, kot tudi odstranjevanje sistemskih kriptografskih politik. Uporablja tudi družino C2, ki temelji na obratni lupini dev/tcp, da se zlije z okoljem Unix v oblačnih sistemih.
Watchdog, medtem pa obstaja od leta 2019 in je ena vidnejših skupin groženj, osredotočenih na oblak, je opozoril Muir. "Oportunistični so pri izkoriščanju napačne konfiguracije oblaka [odkrivanje teh napak] z množičnim skeniranjem."
Napadalci se prav tako zanašajo na steganografijo stare šole, da bi se izognili odkrivanju, svojo zlonamerno programsko opremo pa skrivajo za slikovnimi datotekami.
»Smo na zanimivi točki raziskav zlonamerne programske opreme v oblaku,« je zaključil Muir. "Kampanjam še vedno primanjkuje tehnične podrobnosti, kar je dobra novica za branilce."
A prihaja še več. Po mnenju Muira "akterji groženj postajajo vse bolj izpopolnjeni" in bodo verjetno prešli s kriptokopanja na bolj škodljive napade.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
