بلیک ہیٹ یوروپ 2022 - لندن - سکے اسٹومپ. واچ ڈاگ. ڈینونیا.
سائبر حملے کی یہ مہمیں آج کل کلاؤڈ سسٹمز کو نشانہ بنانے والے سب سے زیادہ خطرناک خطرات میں سے ہیں - اور ان کا پتہ لگانے سے بچنے کی صلاحیت کو آنے والے ممکنہ خطرات کی ایک احتیاطی کہانی کے طور پر کام کرنا چاہیے، ایک سیکیورٹی محقق نے آج یہاں تفصیل سے بتایا۔
"حالیہ کلاؤڈ فوکسڈ میلویئر مہمات نے یہ ثابت کیا ہے کہ مخالف گروپوں کو کلاؤڈ ٹیکنالوجیز اور ان کے حفاظتی طریقہ کار کا گہرا علم ہے۔ اور صرف یہی نہیں، وہ اسے اپنے فائدے کے لیے استعمال کر رہے ہیں،‘‘ کیڈو سیکیورٹی کے دھمکی آمیز انٹیلی جنس انجینئر میٹ مائر نے کہا، جس نے ان تین مہمات کی تفصیلات شیئر کیں جن کا ان کی ٹیم نے مطالعہ کیا ہے۔
اگرچہ تینوں حملے کی مہمیں اس وقت کرپٹو مائننگ کے بارے میں ہیں، ان کی کچھ تکنیکوں کو مزید مذموم مقاصد کے لیے استعمال کیا جا سکتا ہے۔ اور زیادہ تر، یہ اور دیگر حملے Muir کی ٹیم نے دیکھے ہیں جو غلط کنفیگر شدہ کلاؤڈ سیٹنگز اور دیگر غلطیوں سے فائدہ اٹھا رہے ہیں۔ Muir کے مطابق، زیادہ تر حصے کا مطلب ہے کہ ان کے خلاف دفاع کرنا کلاؤڈ کسٹمر کیمپ میں اترتا ہے۔
"حقیقت پسندانہ طور پر اس قسم کے حملوں کے لیے، اس کا صارف کے ساتھ [کلاؤڈ] سروس فراہم کرنے والے سے زیادہ تعلق ہے،" موئیر نے ڈارک ریڈنگ کو بتایا۔ "وہ بہت موقع پرست ہیں۔ انہوں نے کہا کہ زیادہ تر حملے جو ہم دیکھتے ہیں ان کا زیادہ تعلق غلطیوں سے ہوتا ہے۔
انہوں نے کہا کہ شاید ان حملوں کے ساتھ سب سے دلچسپ پیش رفت یہ ہے کہ وہ اب سرور لیس کمپیوٹنگ اور کنٹینرز کو نشانہ بنا رہے ہیں۔ انہوں نے اپنی پریزنٹیشن میں کہا، "جس آسانی سے کلاؤڈ کے وسائل سے سمجھوتہ کیا جا سکتا ہے، اس نے بادل کو ایک آسان ہدف بنا دیا ہے،"کلاؤڈ میں حقیقی دنیا کا پتہ لگانے کی چوری کی تکنیک".
DoH، یہ ایک کرپٹو مائنر ہے۔
Denonia میلویئر کلاؤڈ میں AWS Lambda سرور لیس ماحول کو نشانہ بناتا ہے۔ "ہمیں یقین ہے کہ یہ سرور کے بغیر ماحول کو نشانہ بنانے کے لیے عوامی طور پر ظاہر کردہ میلویئر کا پہلا نمونہ ہے،" Muir نے کہا۔ جبکہ مہم خود کرپٹو مائننگ کے بارے میں ہے، حملہ آور کمانڈ اور کنٹرول کے کچھ جدید طریقے استعمال کرتے ہیں جو اس بات کی نشاندہی کرتے ہیں کہ وہ کلاؤڈ ٹیکنالوجی میں اچھی طرح سے پڑھے ہوئے ہیں۔
ڈینونیا حملہ آور ایک پروٹوکول استعمال کرتے ہیں جو DNS کو HTTPS (عرف DoH) پر لاگو کرتا ہے، جو HTTPS پر DNS استفسارات DoH پر مبنی حل کرنے والے سرورز کو بھیجتا ہے۔ اس سے حملہ آوروں کو انکرپٹڈ ٹریفک کے اندر چھپنے کا ایک طریقہ ملتا ہے کہ AWS ان کے بدنیتی پر مبنی DNS تلاش نہیں کر سکتا۔ "یہ DoH کا استعمال کرنے والا پہلا میلویئر نہیں ہے، لیکن یہ یقینی طور پر کوئی عام واقعہ نہیں ہے،" Muir نے کہا۔ AWS کے ساتھ "یہ میلویئر کو الرٹ کو متحرک کرنے سے روکتا ہے"، انہوں نے کہا۔
حملہ آوروں نے سیکیورٹی تجزیہ کاروں کی توجہ ہٹانے یا الجھانے کے لیے مزید موڑ بھی پھینکے، صارف ایجنٹ HTTPS درخواست کے تاروں کی ہزاروں لائنیں۔
"پہلے ہم نے سوچا کہ یہ بوٹ نیٹ یا DDoS ہو سکتا ہے … لیکن ہمارے تجزیے میں یہ حقیقت میں میلویئر کے ذریعہ استعمال نہیں کیا گیا تھا" اور اس کے بجائے اختتامی نقطہ کا پتہ لگانے اور رسپانس (EDR) ٹولز اور میلویئر تجزیہ سے بچنے کے لیے بائنری کو پیڈ کرنے کا ایک طریقہ تھا۔ انہوں نے کہا.
CoinStomp اور Watchdog کے ساتھ مزید Cryptojacking
CoinStomp کلاؤڈ-آبائی مالویئر ہے جو ایشیا میں کلاؤڈ سیکیورٹی فراہم کرنے والوں کو کرپٹو جیکنگ کے مقاصد کے لیے نشانہ بناتا ہے۔ اس کا اہم طریقہ کار ٹائم اسٹیمپ کی ہیرا پھیری ایک اینٹی فرانزک تکنیک کے ساتھ ساتھ سسٹم کی کرپٹوگرافک پالیسیوں کو ہٹانا ہے۔ یہ کلاؤڈ سسٹم کے یونکس ماحول میں گھل مل جانے کے لیے dev/tcp ریورس شیل پر مبنی C2 فیملی کا بھی استعمال کرتا ہے۔
واچ ڈاگاس دوران، 2019 کے بعد سے ہے اور یہ کلاؤڈ فوکسڈ خطرے والے گروپوں میں سے ایک ہے، Muir نے نوٹ کیا۔ "وہ بڑے پیمانے پر اسکیننگ کے ذریعے، کلاؤڈ غلط کنفیگریشن کا فائدہ اٹھانے میں موقع پرست ہیں۔"
حملہ آور پتہ لگانے سے بچنے کے لیے پرانے اسکول کی سٹیگنوگرافی پر بھی انحصار کرتے ہیں، اپنے میلویئر کو تصویری فائلوں کے پیچھے چھپاتے ہیں۔
"ہم کلاؤڈ میلویئر ریسرچ میں ایک دلچسپ موڑ پر ہیں،" Muir نے نتیجہ اخذ کیا۔ "مہم ابھی تک تکنیکی لحاظ سے کسی حد تک کم ہیں، جو محافظوں کے لیے اچھی خبر ہے۔"
لیکن اور بھی آنا باقی ہے۔ Muir کے مطابق، "خطرات کے اداکار زیادہ نفیس ہوتے جا رہے ہیں" اور ممکنہ طور پر کرپٹو مائننگ سے مزید نقصان دہ حملوں کی طرف بڑھیں گے۔
