SİYAH ŞAPKA AVRUPA 2022 – Londra – CoinStomp. bekçi köpeği. Denonia.
Bu siber saldırı kampanyaları, günümüzde bulut sistemlerini hedef alan en üretken tehditler arasında yer alıyor ve bunların tespit edilmekten kaçma yetenekleri, bugün burada ayrıntıları verilen bir güvenlik araştırmacısına göre, gelecek potansiyel tehditler için uyarıcı bir hikaye işlevi görmeli.
Cado Security’nin tehdit istihbaratı mühendisi Matt Muir, “Son bulut odaklı kötü amaçlı yazılım kampanyaları, düşman grupların bulut teknolojileri ve güvenlik mekanizmaları hakkında derin bilgiye sahip olduğunu gösterdi. Ve sadece bu da değil, bunu kendi avantajlarına kullanıyorlar” dedi. ekibinin incelediği bu üç kampanyanın ayrıntıları.
Bu noktada üç saldırı kampanyası tamamen kripto madenciliği ile ilgili olsa da, tekniklerinden bazıları daha hain amaçlar için kullanılabilir. Ve Muir’in ekibinin gördüğü bu ve diğer saldırıların çoğu, yanlış yapılandırılmış bulut ayarlarından ve diğer hatalardan yararlanıyor. Muir’e göre bu, çoğunlukla onlara karşı savunma yapmak anlamına geliyor.
“Gerçekçi olarak, bu tür saldırılar için, kullanıcıdan çok kullanıcıyla ilgisi var. [cloud] hizmet sağlayıcısı,” diyor Muir, Dark Reading’e. “Çok fırsatçılar. Gördüğümüz saldırıların çoğunun daha çok hatalardan kaynaklandığını görüyoruz” dedi.
Bu saldırılarla ilgili belki de en ilginç gelişme, artık sunucusuz bilgi işlem ve kapsayıcıları hedef alıyor olmalarıdır dedi. Sunumunda, “Hangi bulut kaynaklarının tehlikeye atılabileceğinin kolaylığı, bulutu kolay bir hedef haline getirdi” dedi, “Bulutta Gerçek Dünya Tespit Kaçınma Teknikleri.”
DoH, Bu Bir Cryptominer
Denonia kötü amaçlı yazılımı, buluttaki AWS Lambda sunucusuz ortamları hedefler. Muir, “Sunucusuz ortamları hedefleyen, kamuya açıklanan ilk kötü amaçlı yazılım örneği olduğuna inanıyoruz” dedi. Kampanyanın kendisi kripto madenciliği ile ilgili olsa da, saldırganlar bulut teknolojisinde iyi çalıştıklarını gösteren bazı gelişmiş komuta ve kontrol yöntemleri kullanıyor.
Denonia saldırganları, HTTPS üzerinden DNS sorgularını DoH tabanlı çözümleyici sunuculara gönderen HTTPS üzerinden DNS (aka DoH) uygulayan bir protokol kullanır. Bu, saldırganlara AWS’nin kötü niyetli DNS aramalarını görememesi için şifrelenmiş trafik içinde saklanma yolu sağlar. Muir, “DoH’u kullanan ilk kötü amaçlı yazılım değil, ancak kesinlikle yaygın bir olay değil” dedi. AWS ile “Bu, kötü amaçlı yazılımın bir uyarı tetiklemesini önler” dedi.
Saldırganlar ayrıca güvenlik analistlerinin dikkatini dağıtmak veya kafalarını karıştırmak için binlerce satırlık kullanıcı aracısı HTTPS istek dizisini daha fazla saptırmış gibi görünüyordu.
“İlk başta bunun bir botnet veya DDoS olabileceğini düşündük … ancak analizimizde aslında kötü amaçlı yazılım tarafından kullanılmadı” ve bunun yerine uç nokta algılama ve yanıt (EDR) araçlarından kaçınmak için ikili dosyayı doldurmanın bir yoluydu ve Kötü amaçlı yazılım analizi, dedi.
CoinStomp ve Watchdog ile Daha Fazla Cryptojacking
CoinStomp, Cryptojacking amacıyla Asya’daki bulut güvenlik sağlayıcılarını hedef alan bulutta yerel bir kötü amaçlı yazılımdır. ana modus operandi adli tıp karşıtı bir teknik olarak zaman damgası manipülasyonu ve sistem şifreleme politikalarını kaldırmadır. Ayrıca, bulut sistemlerinin Unix ortamlarına uyum sağlamak için dev/tcp ters kabuğa dayalı bir C2 ailesi kullanır.
Muir, bu arada Watchdog’un 2019’dan beri var olduğunu ve en önde gelen bulut odaklı tehdit gruplarından biri olduğunu belirtti. “Bulut yanlış yapılandırmasından yararlanma konusunda fırsatçı davranıyorlar, [detecting those mistakes] toplu tarama ile.”
Saldırganlar ayrıca kötü amaçlı yazılımlarını görüntü dosyalarının arkasına saklayarak tespit edilmekten kaçınmak için eski usul steganografiye güveniyor.
Muir, “Bulut kötü amaçlı yazılım araştırmasında ilginç bir noktadayız” dedi. “Seferler hala biraz teknik açıdan eksik, bu da savunmacılar için iyi bir haber.”
Ama gelecek daha çok şey var. Muir’e göre “Tehdit aktörleri daha sofistike hale geliyor” ve muhtemelen kripto madencilikten daha zarar verici saldırılara geçecekler.