SİYAH ŞAPKA AVRUPA 2022 – Londra – bozuk para. Bekçi köpeği. Denonia.
Bu siber saldırı kampanyaları, günümüzde bulut sistemlerini hedef alan en üretken tehditler arasında yer alıyor ve bunların tespit edilmekten kaçma yetenekleri, bugün burada ayrıntıları verilen bir güvenlik araştırmacısına göre, gelecek potansiyel tehditler için uyarıcı bir hikaye işlevi görmeli.
“Son dönemdeki bulut odaklı kötü amaçlı yazılım kampanyaları, düşman grupların bulut teknolojileri ve güvenlik mekanizmaları hakkında derin bilgiye sahip olduğunu gösterdi. Ekibinin incelediği üç kampanyanın ayrıntılarını paylaşan Cado Security'nin tehdit istihbarat mühendisi Matt Muir, "Ve sadece bu da değil, bunu kendi avantajlarına kullanıyorlar" dedi.
Bu noktada üç saldırı kampanyası tamamen kripto madenciliği ile ilgili olsa da, tekniklerinden bazıları daha hain amaçlar için kullanılabilir. Muir'in ekibinin tespit ettiği bu ve diğer saldırıların çoğu, yanlış yapılandırılmış bulut ayarlarından ve diğer hatalardan yararlanılıyor. Muir'e göre bu, çoğunlukla onlara karşı savunmanın bulut müşteri kampına girmesi anlamına geliyor.
Muir, Dark Reading'e şöyle konuştu: "Gerçekçi olmak gerekirse, bu tür saldırılar için mesele [bulut] servis sağlayıcısından çok kullanıcıyla ilgilidir." “Çok fırsatçıdırlar. Gördüğümüz saldırıların çoğunluğu daha çok bulut müşterisinin hatalarıyla ilgili" dedi.
Belki de bu saldırılarla ilgili en ilginç gelişmenin artık sunucusuz bilgi işlem ve konteynerleri hedef alması olduğunu söyledi. Sunumunda şunları söyledi: "Bulut kaynaklarının tehlikeye atılabilmesinin kolaylığı, bulutu kolay bir hedef haline getirdi."Bulutta Gerçek Dünya Tespit Kaçınma Teknikleri".
DoH, Bu bir Kripto Madencisi
Denonia kötü amaçlı yazılımı, buluttaki AWS Lambda sunucusuz ortamları hedef alıyor. Muir, "Bunun, sunucusuz ortamları hedef alan ilk kamuya açıklanmış kötü amaçlı yazılım örneği olduğuna inanıyoruz" dedi. Kampanyanın kendisi kripto madenciliğiyle ilgili olsa da saldırganlar, bulut teknolojisi konusunda iyi eğitimli olduklarını gösteren bazı gelişmiş komuta ve kontrol yöntemleri kullanıyor.
Denonia saldırganları, DNS sorgularını HTTPS üzerinden DoH tabanlı çözümleyici sunuculara gönderen, HTTPS üzerinden DNS (diğer adıyla DoH) uygulayan bir protokol kullanıyor. Bu, saldırganlara, AWS'nin kötü amaçlı DNS aramalarını göremeyeceği şekilde şifrelenmiş trafik içinde saklanabilecekleri bir yol sağlar. Muir, "Bu, DoH'u kullanan ilk kötü amaçlı yazılım değil, ancak kesinlikle sık görülen bir durum da değil" dedi. "Bu, kötü amaçlı yazılımın AWS ile bir uyarıyı tetiklemesini önlüyor" dedi.
Saldırganlar ayrıca güvenlik analistlerinin dikkatini dağıtmak veya kafalarını karıştırmak için binlerce satırlık kullanıcı aracısı HTTPS istek dizisini daha fazla saptırmış gibi görünüyordu.
"İlk başta bunun bir botnet veya DDoS olabileceğini düşündük... ancak analizimize göre aslında kötü amaçlı yazılım tarafından kullanılmadı" ve bunun yerine uç nokta algılama ve yanıt (EDR) araçlarından ve kötü amaçlı yazılım analizinden kaçınmak için ikili dosyayı doldurmanın bir yoluydu dedi.
CoinStomp ve Watchdog ile Daha Fazla Cryptojacking
CoinStomp, Cryptojacking amacıyla Asya'daki bulut güvenlik sağlayıcılarını hedef alan bulutta yerel bir kötü amaçlı yazılımdır. ana işleyiş Adli tıp karşıtı bir teknik olarak zaman damgası manipülasyonunun yanı sıra sistem şifreleme ilkelerinin kaldırılmasıdır. Ayrıca bulut sistemlerinin Unix ortamlarına uyum sağlamak için dev/tcp ters kabuğunu temel alan bir C2 ailesi kullanır.
Bekçi köpeğiMuir, bu arada 2019'dan beri ortalıkta olduğunu ve bulut odaklı en önde gelen tehdit gruplarından biri olduğunu belirtti. "Buluttaki yanlış yapılandırmadan yararlanarak [bu hataları toplu tarama yoluyla tespit ederek] fırsatçı davranıyorlar."
Saldırganlar ayrıca kötü amaçlı yazılımlarını görüntü dosyalarının arkasına saklayarak tespit edilmekten kaçınmak için eski usul steganografiye güveniyor.
Muir sözlerini şöyle tamamladı: "Bulut kötü amaçlı yazılım araştırmasında ilginç bir noktadayız." "Kampanyalar hâlâ teknik açıdan bir miktar eksik, bu da savunmacılar için iyi bir haber."
Ama daha fazlası da gelecek. Muir'e göre "Tehdit aktörleri daha sofistike hale geliyor" ve muhtemelen kripto madenciliğinden daha zarar verici saldırılara yönelecekler.
