2022 年欧洲黑帽大会 – 伦敦 – 币踩. 看门狗. 德诺尼亚.
这些网络攻击活动是当今针对云系统的最频繁的威胁之一——它们逃避检测的能力应该作为对即将到来的潜在威胁的警示,一位安全研究人员今天在这里详细介绍了这一点。
“最近以云为中心的恶意软件活动表明,敌对团体对云技术及其安全机制有着深入的了解。 不仅如此,他们还在利用这一优势,”Cado Security 的威胁情报工程师 Matt Muir 说,他分享了他的团队研究过的这三个活动的详细信息。
虽然此时这三个攻击活动都与加密货币挖矿有关,但他们的一些技术可能会用于更邪恶的目的。 在大多数情况下,Muir 的团队看到的这些和其他攻击都是利用错误配置的云设置和其他错误。 根据 Muir 的说法,这在很大程度上意味着要防御他们在云客户阵营中的地位。
“实际上,对于这些类型的攻击,它更多地与用户有关,而不是 [云] 服务提供商,”Muir 告诉 Dark Reading。 “他们非常投机。 他说,我们看到的大多数攻击更多地与“云客户的错误”有关。
他说,这些攻击最有趣的发展可能是它们现在以无服务器计算和容器为目标。 “云资源很容易受到损害,这使得云很容易成为目标,”他在演讲中说,“云中的真实世界检测规避技术设立的区域办事处外,我们在美国也开设了办事处,以便我们为当地客户提供更多的支持。“
DoH,这是一个 Cryptominer
Denonia 恶意软件针对云中的 AWS Lambda 无服务器环境。 “我们相信这是第一个公开披露的针对无服务器环境的恶意软件样本,”Muir 说。 虽然该活动本身是关于加密货币挖矿的,但攻击者采用了一些先进的命令和控制方法,表明他们对云技术进行了深入研究。
Denonia 攻击者使用一种通过 HTTPS 实现 DNS(又名 DoH)的协议,该协议通过 HTTPS 将 DNS 查询发送到基于 DoH 的解析服务器。 这为攻击者提供了一种隐藏在加密流量中的方法,这样 AWS 就无法查看他们的恶意 DNS 查找。 “这不是第一个利用 DoH 的恶意软件,但它肯定不是常见事件,”Muir 说。 他说,“这可以防止恶意软件通过 AWS 触发警报”。
攻击者似乎还使用了数千行用户代理 HTTPS 请求字符串来分散或混淆安全分析师的注意力。
“起初我们认为它可能是僵尸网络或 DDoS……但在我们的分析中,它实际上并没有被恶意软件使用”,而是一种填充二进制文件以逃避端点检测和响应 (EDR) 工具和恶意软件分析的方法, 他说。
使用 CoinStomp 和 Watchdog 进行更多加密劫持
CoinStomp 是针对亚洲云安全提供商的云原生恶意软件,用于加密劫持。 它的主要 手法 是作为反取证技术的时间戳操作,以及删除系统加密策略。 它还使用基于 dev/tcp 反向 shell 的 C2 系列来融入云系统的 Unix 环境。
看门狗Muir 指出,与此同时,自 2019 年以来一直存在,是更突出的以云为中心的威胁组织之一。 “他们投机取巧地利用云配置错误,通过大规模扫描 [检测这些错误]。”
攻击者还依靠老式的隐写术来逃避检测,将他们的恶意软件隐藏在图像文件后面。
“我们正处于云恶意软件研究的一个有趣的时刻,”Muir 总结道。 “竞选活动在技术性方面仍然有所欠缺,这对捍卫者来说是个好消息。”
但还有更多的事情要做。 Muir 表示,“威胁行为者正变得越来越复杂”,并且可能会从加密货币挖矿转向更具破坏性的攻击。
