3 formas en que los atacantes eluden la seguridad en la nube



BLACK HAT EUROPA 2022 – Londres – CoinStomp. Perro guardián. Denonia.

Estas campañas de ataques cibernéticos se encuentran entre las amenazas más prolíficas en la actualidad dirigidas a los sistemas en la nube, y su capacidad para evadir la detección debería servir como una advertencia de las amenazas potenciales por venir, detalló un investigador de seguridad hoy aquí.

«Las recientes campañas de malware centradas en la nube han demostrado que los grupos adversarios tienen un conocimiento profundo de las tecnologías de la nube y sus mecanismos de seguridad. Y no solo eso, lo están usando para su beneficio», dijo Matt Muir, ingeniero de inteligencia de amenazas de Cado Protection, quien compartió detalles sobre esas tres campañas que su equipo ha estudiado.

Si bien las tres campañas de ataque tienen que ver con la criptominería en este punto, algunas de sus técnicas podrían usarse para propósitos más nefastos. Y en su mayor parte, estos y otros ataques que ha visto el equipo de Muir están explotando configuraciones de nube mal configuradas y otros errores. Eso en su mayor parte significa defender contra ellos tierras en el campamento de clientes de la nube, según Muir.

«Siendo realistas, para este tipo de ataques, tiene más que ver con el usuario que con el [cloud] proveedor de servicios», le dice Muir a Dim Looking through. «Son muy oportunistas. La mayoría de los ataques que vemos tienen más que ver con errores» del cliente de la nube, dijo.

Quizás el desarrollo más interesante con estos ataques es que ahora están dirigidos a contenedores y computación sin servidor, dijo. «La facilidad con la que se pueden comprometer los recursos de la nube ha convertido a la nube en un blanco fácil», dijo en su presentación, «Técnicas de evasión de detección del mundo actual en la nube

DoH, es un criptominero

El malware Denonia se dirige a los entornos sin servidor de AWS Lambda en la nube. «Creemos que es la primera muestra de malware divulgada públicamente para apuntar a entornos sin servidor», dijo Muir. Si bien la campaña en sí se trata de criptominería, los atacantes emplean algunos métodos avanzados de comando y control que indican que están bien estudiados en la tecnología de la nube.

Los atacantes de Denonia emplean un protocolo que implementa DNS sobre HTTPS (también conocido como DoH), que envía consultas de DNS sobre HTTPS a servidores de resolución basados ​​en DoH. Eso les da a los atacantes una forma de esconderse dentro del tráfico cifrado de modo que AWS no pueda ver sus búsquedas de DNS maliciosas. “No es el primer malware que utiliza DoH, pero ciertamente no es algo común”, dijo Muir. «Esto evita que el malware lively una alerta» con AWS, dijo.

Los atacantes también parecían haber lanzado más distracciones para distraer o confundir a los analistas de seguridad, miles de líneas de cadenas de solicitud HTTPS de agente de usuario.

«Al principio pensamos que podría ser una botnet o DDoS… pero en nuestro análisis en realidad no fue utilizado por malware» y, en cambio, era una forma de rellenar el binario para evadir las herramientas de detección y respuesta de punto closing (EDR) y análisis de malware, dijo.

Más cryptojacking con CoinStomp y Watchdog

CoinStomp es un malware nativo de la nube que se dirige a los proveedores de seguridad en la nube en Asia con fines de cryptojacking. Su principal modo de operación es la manipulación de marcas de tiempo como técnica anti-forense, así como la eliminación de políticas criptográficas del sistema. También utiliza una familia C2 basada en un shell inverso dev/tcp para integrarse en los entornos Unix de los sistemas en la nube.

Mientras tanto, Watchdog existe desde 2019 y es uno de los grupos de amenazas centrados en la nube más destacados, señaló Muir. «Son oportunistas al explotar la mala configuración de la nube, [detecting those mistakes] por escaneo masivo».

Los atacantes también confían en la esteganografía de la vieja escuela para evadir la detección, ocultando su malware detrás de archivos de imagen.

«Estamos en un punto interesante en la investigación de malware en la nube», concluyó Muir. «A las campañas aún les falta un poco de tecnicismo, lo cual es una buena noticia para los defensores».

Pero hay más por venir. «Los actores de amenazas se están volviendo más sofisticados» y probablemente pasarán de la criptominería a ataques más dañinos, según Muir.



Enlace a la noticia first