BLACK HAT EUROPE 2022 – ลอนดอน – คอยน์สตอมป์. สุนัขเฝ้าบ้าน. เดโนเนีย.
แคมเปญการโจมตีทางไซเบอร์เหล่านี้เป็นหนึ่งในภัยคุกคามที่แพร่หลายมากที่สุดในปัจจุบันที่กำหนดเป้าหมายระบบคลาวด์ และความสามารถในการหลบเลี่ยงการตรวจจับควรทำหน้าที่เป็นคำเตือนเกี่ยวกับภัยคุกคามที่อาจเกิดขึ้น นักวิจัยด้านความปลอดภัยให้รายละเอียดไว้ที่นี่ในวันนี้
“แคมเปญมัลแวร์ที่เน้นระบบคลาวด์เมื่อเร็วๆ นี้แสดงให้เห็นว่ากลุ่มผู้ไม่หวังดีมีความรู้อย่างใกล้ชิดเกี่ยวกับเทคโนโลยีคลาวด์และกลไกความปลอดภัยของพวกเขา และไม่ใช่แค่นั้น พวกเขาใช้สิ่งนั้นเพื่อประโยชน์ของพวกเขา” Matt Muir วิศวกรข่าวกรองภัยคุกคามของ Cado Security กล่าว ซึ่งแบ่งปันรายละเอียดเกี่ยวกับแคมเปญทั้งสามนี้ที่ทีมของเขาศึกษา
ในขณะที่แคมเปญโจมตีทั้งสามรายการนั้นเกี่ยวกับการทำ cryptomining ณ จุดนี้ เทคนิคบางอย่างของพวกเขาอาจถูกนำมาใช้เพื่อจุดประสงค์ที่ชั่วร้ายกว่านั้น และส่วนใหญ่แล้ว การโจมตีเหล่านี้และการโจมตีอื่นๆ ที่ทีมของ Muir เห็นว่ากำลังใช้ประโยชน์จากการตั้งค่าคลาวด์ที่กำหนดค่าผิดพลาดและข้อผิดพลาดอื่นๆ ส่วนใหญ่หมายถึงการป้องกันดินแดนในค่ายลูกค้าคลาวด์ตามที่ Muir กล่าว
“ตามจริงแล้วการโจมตีประเภทนี้เกี่ยวข้องกับผู้ใช้มากกว่าผู้ให้บริการ [คลาวด์]” Muir กล่าวกับ Dark Reading “พวกเขาฉวยโอกาสมาก การโจมตีส่วนใหญ่ที่เราเห็นเกี่ยวข้องกับความผิดพลาดมากกว่า” โดยลูกค้าระบบคลาวด์ เขากล่าว
บางทีการพัฒนาที่น่าสนใจที่สุดของการโจมตีเหล่านี้ก็คือตอนนี้พวกเขากำลังกำหนดเป้าหมายไปที่การประมวลผลแบบไร้เซิร์ฟเวอร์และคอนเทนเนอร์ เขากล่าว “การที่ทรัพยากรบนคลาวด์ถูกบุกรุกได้ง่ายทำให้คลาวด์กลายเป็นเป้าหมายที่ง่ายดาย” เขากล่าวในงานนำเสนอของเขา “เทคนิคการหลบเลี่ยงการตรวจจับในโลกแห่งความเป็นจริงในคลาวด์".
DoH มันคือ Cryptominer
มัลแวร์ Denonia กำหนดเป้าหมายสภาพแวดล้อมแบบไร้เซิร์ฟเวอร์ของ AWS Lambda ในระบบคลาวด์ “เราเชื่อว่านี่เป็นตัวอย่างมัลแวร์ตัวแรกที่เปิดเผยสู่สาธารณะโดยกำหนดเป้าหมายไปที่สภาพแวดล้อมแบบไร้เซิร์ฟเวอร์” Muir กล่าว ในขณะที่ตัวแคมเปญนั้นเกี่ยวกับการเข้ารหัสลับ ผู้โจมตีใช้วิธีคำสั่งและการควบคุมขั้นสูงบางอย่างที่ระบุว่าพวกเขาศึกษาเทคโนโลยีคลาวด์มาเป็นอย่างดี
ผู้โจมตี Denonia ใช้โปรโตคอลที่ใช้ DNS ผ่าน HTTPS (หรือที่เรียกว่า DoH) ซึ่งจะส่งข้อความค้นหา DNS ผ่าน HTTPS ไปยังเซิร์ฟเวอร์ตัวแก้ไขที่ใช้ DoH ซึ่งช่วยให้ผู้โจมตีสามารถซ่อนตัวภายในทราฟฟิกที่เข้ารหัส ซึ่ง AWS ไม่สามารถดูการค้นหา DNS ที่เป็นอันตรายได้ “ไม่ใช่มัลแวร์ตัวแรกที่ใช้ DoH แต่แน่นอนว่าไม่ใช่เหตุการณ์ปกติ” Muir กล่าว “นี่เป็นการป้องกันไม่ให้มัลแวร์เรียกใช้การแจ้งเตือน” กับ AWS เขากล่าว
ดูเหมือนว่าผู้โจมตีจะใช้วิธีต่างๆ มากขึ้นเพื่อเบี่ยงเบนความสนใจหรือสร้างความสับสนให้กับนักวิเคราะห์ด้านความปลอดภัย สตริงคำขอ HTTPS ของตัวแทนผู้ใช้หลายพันบรรทัด
“ตอนแรกเราคิดว่าอาจเป็นบ็อตเน็ตหรือ DDoS … แต่จากการวิเคราะห์ของเรา มัลแวร์ไม่ได้ใช้งานจริง” และแทนที่จะเป็นวิธีการแพดไบนารีเพื่อหลีกเลี่ยงเครื่องมือตรวจจับและตอบสนองปลายทาง (EDR) และการวิเคราะห์มัลแวร์ , เขาพูดว่า.
Cryptojacking เพิ่มเติมด้วย CoinStomp และ Watchdog
CoinStomp เป็นมัลแวร์บนคลาวด์ที่กำหนดเป้าหมายผู้ให้บริการความปลอดภัยบนคลาวด์ในเอเชียเพื่อวัตถุประสงค์ในการเจาะข้อมูล เป็นหลัก operandi modus เป็นการจัดการการประทับเวลาเป็นเทคนิคต่อต้านการพิสูจน์หลักฐาน เช่นเดียวกับการลบนโยบายการเข้ารหัสของระบบ นอกจากนี้ยังใช้ตระกูล C2 ที่ใช้ dev/tcp reverse shell เพื่อผสมผสานเข้ากับสภาพแวดล้อม Unix ของระบบคลาวด์
สุนัขเฝ้าบ้านในขณะเดียวกัน มีมาตั้งแต่ปี 2019 และเป็นหนึ่งในกลุ่มภัยคุกคามที่เน้นระบบคลาวด์ที่โดดเด่นกว่า Muir กล่าว “พวกมันฉวยโอกาสใช้ประโยชน์จากการกำหนดค่าผิดพลาดบนคลาวด์ [ตรวจจับข้อผิดพลาดเหล่านั้น] โดยการสแกนจำนวนมาก”
ผู้โจมตียังอาศัยระบบซูรินาเมแบบเก่าในการหลบเลี่ยงการตรวจจับ โดยซ่อนมัลแวร์ไว้หลังไฟล์รูปภาพ
“เราอยู่ในจุดที่น่าสนใจในการวิจัยมัลแวร์บนคลาวด์” Muir กล่าวสรุป “แคมเปญยังขาดเทคนิคอยู่บ้าง ซึ่งเป็นข่าวดีสำหรับกองหลัง”
แต่ยังมีอีกมากที่จะเกิดขึ้น “ตัวแสดงภัยคุกคามมีความซับซ้อนมากขึ้น” และมีแนวโน้มว่าจะเปลี่ยนจากการเข้ารหัสเป็นการโจมตีที่สร้างความเสียหายมากขึ้น ตามข้อมูลของ Muir
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
