BLACK HAT EUROPE 2022 – Лондон – CoinStomp. Сторожовий пес. Денонія.
Ці кампанії кібератак є одними з найбільш плідних загроз сьогодні, націлених на хмарні системи, і їхня здатність уникати виявлення має служити застереженням щодо майбутніх потенційних загроз, розповів сьогодні дослідник безпеки.
«Нещодавні кампанії зловмисного програмного забезпечення, орієнтовані на хмару, продемонстрували, що зловмисники мають глибокі знання про хмарні технології та їхні механізми безпеки. І не тільки це, вони використовують це в своїх інтересах», — сказав Метт Муір, інженер із розвідки загроз Cado Security, який поділився подробицями тих трьох кампаній, які вивчала його команда.
Незважаючи на те, що всі три кампанії атак на даний момент стосуються криптомайнінгу, деякі з їхніх методів можуть бути використані для більш мерзенних цілей. І здебільшого ці та інші атаки, які бачила команда Мьюїра, використовують неправильно налаштовані параметри хмари та інші помилки. За словами Муїра, це здебільшого означає захист від них земель у таборі хмарних клієнтів.
«Насправді такі атаки мають більше відношення до користувача, ніж до постачальника [хмарних] послуг», — розповідає М’юір Dark Reading. «Вони дуже опортуністичні. Більшість атак, які ми бачимо, більше пов’язані з помилками», – сказав він.
Мабуть, найцікавіша подія цих атак полягає в тому, що вони тепер націлені на безсерверні обчислення та контейнери, сказав він. «Легкість скомпрометації хмарних ресурсів зробила хмару легкою мішенню, — сказав він у своїй презентації, —Методи ухилення від виявлення в реальному світі в хмарі».
DoH, це Cryptominer
Зловмисне програмне забезпечення Denonia націлено на безсерверне середовище AWS Lambda у хмарі. «Ми вважаємо, що це перший публічно оприлюднений зразок зловмисного програмного забезпечення, націленого на безсерверне середовище», — сказав Муір. Хоча сама кампанія присвячена криптомайнінгу, зловмисники використовують деякі просунуті методи командування та контролю, які вказують на те, що вони добре вивчили хмарні технології.
Зловмисники Denonia використовують протокол, який реалізує DNS через HTTPS (він же DoH), який надсилає DNS-запити через HTTPS на сервери резолверів на основі DoH. Це дає зловмисникам можливість сховатися в зашифрованому трафіку, щоб AWS не міг переглядати їхні шкідливі DNS-запити. «Це не перше зловмисне програмне забезпечення, яке використовує DoH, але це, звичайно, не поширене явище», — сказав Муір. «Це не дозволяє зловмисному програмному забезпеченню викликати попередження» за допомогою AWS, сказав він.
Зловмисники також, схоже, підкинули більше диверсій, щоб відволікти або заплутати аналітиків безпеки, тисячі рядків рядків HTTPS-запиту агента користувача.
«Спочатку ми подумали, що це може бути ботнет або DDoS... але в нашому аналізі він насправді не використовувався зловмисним програмним забезпеченням», а замість цього був способом доповнити двійковий файл, щоб уникнути інструментів виявлення та реагування на кінцеві точки (EDR) і аналізу зловмисного програмного забезпечення. , він сказав.
Більше криптоджекінгу з CoinStomp і Watchdog
CoinStomp — це хмарне зловмисне програмне забезпечення, націлене на хмарних постачальників безпеки в Азії з метою криптозлому. Його основний образ дії це маніпуляції з часовими мітками як антикриміналістична техніка, а також видалення системних криптографічних політик. Він також використовує сімейство C2, засноване на зворотній оболонці dev/tcp, щоб інтегруватися в середовище Unix хмарних систем.
Сторожовий пес, тим часом, існує з 2019 року і є однією з найвідоміших груп загроз, орієнтованих на хмару, зазначив М’юір. «Вони використовують неправильну конфігурацію хмари, [виявляючи ці помилки] шляхом масового сканування».
Зловмисники також покладаються на стару шкільну стеганографію, щоб уникнути виявлення, ховаючи своє шкідливе програмне забезпечення за файлами зображень.
«Ми перебуваємо на цікавому етапі дослідження хмарних зловмисних програм», — підсумував М’юір. «Кампанії все ще дещо не вистачає технічності, що є гарною новиною для захисників».
Але попереду ще більше. «Актори загроз стають все більш витонченими» і, ймовірно, перейдуть від криптомайнінгу до більш шкідливих атак, за словами Мьюїра.
