BLACK HAT EUROPA 2022 – London – CoinStomp. Wachhund. Denonia.
Diese Cyberangriffskampagnen gehören heute zu den produktivsten Bedrohungen, die auf Cloud-Systeme abzielen – und ihre Fähigkeit, sich der Erkennung zu entziehen, sollte als warnendes Beispiel für potenzielle Bedrohungen dienen, die kommen werden, wie ein Sicherheitsforscher heute hier erläutert.
„Jüngste Cloud-fokussierte Malware-Kampagnen haben gezeigt, dass gegnerische Gruppen über genaue Kenntnisse der Cloud-Technologien und ihrer Sicherheitsmechanismen verfügen. Und nicht nur das, sie nutzen das zu ihrem Vorteil“, sagte Matt Muir, Threat Intelligence Engineer bei Cado Security, der Einzelheiten zu den drei Kampagnen mitteilte, die sein Team untersucht hat.
Während sich bei den drei Angriffskampagnen an dieser Stelle alles um Kryptomining dreht, könnten einige ihrer Techniken für schändlichere Zwecke verwendet werden. Und zum größten Teil nutzen diese und andere Angriffe, die Muirs Team beobachtet hat, falsch konfigurierte Cloud-Einstellungen und andere Fehler aus. Das bedeutet laut Muir größtenteils, dass die Verteidigung gegen sie im Lager der Cloud-Kunden landet.
„Realistischerweise hat es bei dieser Art von Angriffen mehr mit dem Benutzer zu tun als mit dem [Cloud]-Dienstanbieter“, sagt Muir gegenüber Dark Reading. „Sie sind sehr opportunistisch. Die Mehrheit der Angriffe, die wir sehen, hat mehr mit Fehlern zu tun“, sagte er.
Die vielleicht interessanteste Entwicklung bei diesen Angriffen sei, dass sie jetzt auf Serverless Computing und Container abzielen, sagte er. „Die Leichtigkeit, mit der Cloud-Ressourcen kompromittiert werden können, hat die Cloud zu einem einfachen Ziel gemacht“, sagte er in seiner Präsentation, „Techniken zur Umgehung der Erkennung in der realen Welt in der Cloud"
DoH, es ist ein Cryptominer
Denonia-Malware zielt auf serverlose AWS Lambda-Umgebungen in der Cloud ab. „Wir glauben, dass es sich um das erste öffentlich bekannt gegebene Malware-Sample handelt, das auf serverlose Umgebungen abzielt“, sagte Muir. Während sich die Kampagne selbst um Kryptomining dreht, verwenden die Angreifer einige fortschrittliche Befehls- und Kontrollmethoden, die darauf hindeuten, dass sie in der Cloud-Technologie gut studiert sind.
Die Denonia-Angreifer verwenden ein Protokoll, das DNS über HTTPS (auch bekannt als DoH) implementiert, das DNS-Abfragen über HTTPS an DoH-basierte Resolver-Server sendet. Das gibt den Angreifern die Möglichkeit, sich in verschlüsseltem Datenverkehr zu verstecken, sodass AWS ihre böswilligen DNS-Lookups nicht sehen kann. „Es ist nicht die erste Malware, die sich DoH zunutze macht, aber es kommt sicherlich nicht häufig vor“, sagte Muir. „Dies verhindert, dass die Malware eine Warnung auslöst“, sagte er bei AWS.
Die Angreifer schienen auch weitere Umleitungen eingeworfen zu haben, um Sicherheitsanalysten abzulenken oder zu verwirren, Tausende von Zeilen von HTTPS-Anforderungszeichenfolgen für Benutzeragenten.
„Zuerst dachten wir, es könnte sich um ein Botnet oder DDoS handeln … aber in unserer Analyse wurde es nicht wirklich von Malware verwendet“ und war stattdessen eine Möglichkeit, die Binärdatei aufzufüllen, um Endpoint Detection & Response (EDR)-Tools und Malware-Analysen zu umgehen , er sagte.
Mehr Kryptojacking mit CoinStomp und Watchdog
CoinStomp ist eine Cloud-native Malware, die auf Cloud-Sicherheitsanbieter in Asien zu Kryptojacking-Zwecken abzielt. Seine wichtigste Verfahrensweise ist die Manipulation von Zeitstempeln als Anti-Forensik-Technik sowie das Entfernen kryptografischer Systemrichtlinien. Es verwendet auch eine C2-Familie, die auf einer dev/tcp-Reverse-Shell basiert, um sich in die Unix-Umgebungen von Cloud-Systemen einzufügen.
Wachhund, gibt es inzwischen seit 2019 und ist eine der prominenteren Cloud-fokussierten Bedrohungsgruppen, bemerkte Muir. „Sie sind opportunistisch, wenn es darum geht, Cloud-Fehlkonfigurationen auszunutzen, indem sie diese Fehler durch Massenscans erkennen.“
Die Angreifer verlassen sich auch auf Steganografie der alten Schule, um der Erkennung zu entgehen, und verstecken ihre Malware hinter Bilddateien.
„Wir befinden uns an einem interessanten Punkt in der Cloud-Malware-Forschung“, schloss Muir. „Den Kampagnen mangelt es immer noch etwas an Technik, was für Verteidiger eine gute Nachricht ist.“
Aber es kommt noch mehr. „Bedrohungsakteure werden immer raffinierter“ und werden laut Muir wahrscheinlich vom Kryptomining zu schädlicheren Angriffen übergehen.
