BLACK HAT EUROPE 2022 – London – CoinStomp. Watchdog. Denonia.
Dessa cyberattackskampanjer är bland de mest produktiva hoten idag riktade mot molnsystem – och deras förmåga att undvika upptäckt bör fungera som en varnande berättelse om potentiella hot som kommer, en säkerhetsforskare som beskrivs här i dag.
"De senaste molnfokuserade skadliga kampanjerna har visat att motståndargrupper har ingående kunskap om molnteknologier och deras säkerhetsmekanismer. Och inte bara det, de använder det till sin fördel”, säger Matt Muir, ingenjör för hotintelligens för Cado Security, som delade detaljer om de tre kampanjerna som hans team har studerat.
Medan de tre attackkampanjerna handlar om kryptominering vid denna tidpunkt, kan vissa av deras tekniker användas för mer skändliga syften. Och för det mesta utnyttjar dessa och andra attacker som Muirs team har sett felkonfigurerade molninställningar och andra misstag. Det betyder för det mesta att försvar mot dem landar i molnets kundläger, enligt Muir.
"Realistiskt för den här typen av attacker har det mer att göra med användaren än tjänsteleverantören [moln]", säger Muir till Dark Reading. "De är väldigt opportunistiska. Majoriteten av attackerna vi ser har mer att göra med misstag” av molnkunden, sa han.
Den kanske mest intressanta utvecklingen med dessa attacker är att de nu riktar sig mot serverlös datoranvändning och behållare, sa han. "Lättheten för vilka molnresurser kan äventyras har gjort molnet till ett enkelt mål", sa han i sin presentation, "Verkliga tekniker för upptäcktsflykt i molnet. "
DoH, det är en Cryptominer
Denonia malware riktar sig mot AWS Lambda-serverlösa miljöer i molnet. "Vi tror att det är det första offentligt avslöjade provet av skadlig programvara som riktar sig mot serverlösa miljöer," sa Muir. Medan själva kampanjen handlar om kryptominering använder angriparna några avancerade kommando- och kontrollmetoder som indikerar att de är välstuderade inom molnteknik.
Denonia-angriparna använder ett protokoll som implementerar DNS över HTTPS (alias DoH), som skickar DNS-frågor över HTTPS till DoH-baserade resolverservrar. Det ger angriparna ett sätt att gömma sig i krypterad trafik så att AWS inte kan se deras skadliga DNS-uppslagningar. "Det är inte den första skadliga programvaran som använder DoH, men det är verkligen inte en vanlig företeelse," sa Muir. "Detta förhindrar skadlig programvara att utlösa en varning" med AWS, sa han.
Angriparna verkade också ha kastat in fler avledningar för att distrahera eller förvirra säkerhetsanalytiker, tusentals rader av användaragentens HTTPS-förfrågningssträngar.
"Först trodde vi att det kunde vara ett botnät eller DDoS ... men i vår analys användes det faktiskt inte av skadlig programvara" och var istället ett sätt att fylla på binären för att undvika endpoint detection & response (EDR)-verktyg och skadlig programvara , han sa.
Mer Cryptojacking med CoinStomp och Watchdog
CoinStomp är molnbaserad skadlig programvara som riktar sig till molnsäkerhetsleverantörer i Asien för kryptojackning. Dess huvudsakliga Juicy Fruit är tidsstämpelmanipulation som en anti-kriminalteknik, samt att ta bort systemkrypteringspolicyer. Den använder också en C2-familj baserad på ett dev/tcp omvänt skal för att smälta in i molnsystemens Unix-miljöer.
Watchdog, under tiden, har funnits sedan 2019 och är en av de mer framträdande molnfokuserade hotgrupperna, noterade Muir. "De är opportunistiska när det gäller att utnyttja molnets felkonfiguration, [upptäcka dessa misstag] genom massskanning."
Angriparna förlitar sig också på gammaldags steganografi för att undvika upptäckt och gömmer sin skadliga programvara bakom bildfiler.
"Vi är vid en intressant punkt i forskning om molnskadlig programvara," avslutade Muir. "Kampanjer saknar fortfarande något tekniskt, vilket är goda nyheter för försvarare."
Men det kommer mer. "Hotaktörer blir mer sofistikerade" och kommer sannolikt att gå från kryptominering till mer skadliga attacker, enligt Muir.
