3 Möglichkeiten, wie Angreifer die Cloud-Sicherheit umgehen

BLACK HAT EUROPE 2022 – London – CoinStomp. Wachhund. Denonia.

Ebendiese Cyberangriffskampagnen in Besitz sein von heute zu den produktivsten Bedrohungen, die gen Cloud-Systeme abzielen – und ihre Fähigkeit, sich dieser Erkennung zu entziehen, sollte wie warnendes Musterbeispiel z. Hd. potenzielle Bedrohungen eignen, die kommen werden, wie ein Sicherheitsforscher heute hier erläutert.

„Jüngste Cloud-fokussierte Schadsoftware-Kampagnen nach sich ziehen gezeigt, dass gegnerische Gruppen genaue Kenntnisse oberhalb Cloud-Technologien und ihre Sicherheitsmechanismen nach sich ziehen. Und nicht nur dasjenige, sie nutzen dies zu ihrem Vorteil“, sagte Matt Muir, Threat Intelligence Engineer im Zusammenhang Cado Security, dieser mitteilte Einzelheiten zu diesen drei Kampagnen, die sein Team untersucht hat.

Während sich im Zusammenhang den drei Angriffskampagnen an dieser Stelle die Gesamtheit um Kryptomining dreht, könnten wenige ihrer Techniken z. Hd. schändlichere Zwecke verwendet werden. Und zum größten Teil nutzen solche und andere Angriffe, die Muirs Team beobachtet hat, falsch konfigurierte Cloud-Einstellungen und andere Fehler aus. Dies bedeutet laut Muir größtenteils, dass die Verteidigung gegen sie im Vorrat dieser Cloud-Kunden landet.

„Realistischerweise hat es im Zusammenhang dieser Stil von Angriffen mehr mit dem Benutzer zu tun wie mit dem [cloud] Dienstleister“, sagt Muir zu Dark Reading. „Sie sind sehr opportunistisch. Die Mehrheit dieser Angriffe, die wir sehen, hat mehr mit Fehlern zu tun“, sagte er.

Die vielleicht interessanteste Evolution im Zusammenhang diesen Angriffen sei, dass sie jetzt gen Serverless Computing und Container abzielen, sagte er. „Die Leichtigkeit, mit dieser Cloud-Ressourcen kompromittiert werden können, hat die Cloud zu einem einfachen Ziel gemacht“, sagte er in seiner Präsentation „Real-World Detection Evasion Techniques in the Cloud“.

DoH, es ist ein Cryptominer

Denonia-Schadsoftware zielt gen serverlose AWS Lambda-Umgebungen in dieser Cloud ab. „Wir Vertrauen schenken, dass es sich um dasjenige erste publik familiär gegebene Schadsoftware-Sample handelt, dasjenige gen serverlose Umgebungen abzielt“, sagte Muir. Während sich die Kampagne selbst um Kryptomining dreht, verwenden die Angreifer wenige fortschrittliche Befehls- und Kontrollmethoden, die darauf hindeuten, dass sie in dieser Cloud-Technologie gut studiert sind.

Die Denonia-Angreifer verwenden ein Protokoll, dasjenige DNS oberhalb HTTPS (selbst familiär wie DoH) implementiert, dasjenige DNS-Hereinholen oberhalb HTTPS an DoH-basierte Resolver-Server sendet. Dies gibt den Angreifern die Möglichkeit, sich in verschlüsseltem Datenverkehr zu verstecken, sodass AWS ihre böswilligen DNS-Lookups nicht sehen kann. „Es ist nicht die erste Schadsoftware, die sich DoH zunutze macht, wohl es kommt sicherlich nicht x-mal vor“, sagte Muir. „Dies verhindert, dass die Schadsoftware eine Warnung auslöst“, sagte er im Zusammenhang AWS.

Die Angreifer schienen selbst weitere Umleitungen eingeworfen zu nach sich ziehen, um Sicherheitsanalysten abzulenken oder zu verwirren, Tausende von Zeilen von HTTPS-Anforderungszeichenfolgen z. Hd. Benutzeragenten.

„Zuerst dachten wir, es könnte sich um ein Botnet oder DDoS handeln … wohl in unserer Begutachtung wurde es nicht wirklich von Schadsoftware verwendet“ und war stattdessen eine Möglichkeit, die Binärdatei aufzufüllen, um Endpoint Detection & Response (EDR)-Tools zu umgehen und Schadsoftware-Begutachtung, sagte er.

Mehr Kryptojacking mit CoinStomp und Watchdog

CoinStomp ist eine Cloud-native Schadsoftware, die gen Cloud-Sicherheitsanbieter in Asien zu Kryptojacking-Zwecken abzielt. Seine wichtigste Modus Operandi ist die Manipulierung von Zeitstempeln wie Wider-Forensische Medizin-Technologie sowie dasjenige Explantieren kryptografischer Systemrichtlinien. Es verwendet selbst eine C2-Familie, die gen einer dev/tcp-Reverse-Shell basiert, um sich in die Unix-Umgebungen von Cloud-Systemen einzufügen.

Watchdog gibt es inzwischen seit dieser Zeit 2019 und ist eine dieser prominenteren Cloud-fokussierten Bedrohungsgruppen, bemerkte Muir. “Sie sind opportunistisch darin, Cloud-Fehlkonfigurationen auszunutzen, [detecting those mistakes] durch Massenscannen.”

Die Angreifer verlassen sich selbst gen Steganographie dieser alten Schulgebäude, um dieser Erkennung zu entkommen, und verstecken ihre Schadsoftware hinter Bilddateien.

„Wir entscheiden uns an einem interessanten Zähler in dieser Cloud-Schadsoftware-Wissenschaft“, schloss Muir. “Den Kampagnen mangelt es immer noch irgendetwas an Technologie, welches eine gute Nachricht z. Hd. die Verteidiger ist.”

Dennoch es kommt noch mehr. „Bedrohungsakteure werden immer raffinierter“ und werden laut Muir wahrscheinlich vom Kryptomining zu schädlicheren Angriffen ignorieren.