3 formas en que los atacantes eluden la seguridad en la nube

BLACK HAT EUROPA 2022 – Londres – CoinStomp. Perro guardián. deonia.

Estas campañas de ataques cibernéticos se encuentran entre las amenazas más prolíficas en la actualidad dirigidas a los sistemas en la nube, y su capacidad para evadir la detección debería servir como una advertencia de las amenazas potenciales por venir, detalló un investigador de seguridad hoy aquí.

“Las recientes campañas de malware centradas en la nube han demostrado que los grupos adversarios tienen un conocimiento íntimo de las tecnologías de la nube y sus mecanismos de seguridad. Y no solo eso, lo están usando para su beneficio”, dijo Matt Muir, ingeniero de inteligencia de amenazas de Cado Security, quien compartió detalles sobre esas tres campañas que su equipo ha estudiado.

Si bien las tres campañas de ataque tienen que ver con la criptominería en este punto, algunas de sus técnicas podrían usarse para propósitos más nefastos. Y en su mayor parte, estos y otros ataques que ha visto el equipo de Muir están explotando configuraciones de nube mal configuradas y otros errores. Eso en su mayor parte significa defender contra ellos tierras en el campamento de clientes de la nube, según Muir.

“Siendo realistas, para este tipo de ataques, tiene más que ver con el usuario que con el proveedor de servicios [en la nube]”, dice Muir a Dark Reading. “Son muy oportunistas. La mayoría de los ataques que vemos tienen más que ver con los errores” del cliente de la nube, dijo.

Quizás el desarrollo más interesante con estos ataques es que ahora están dirigidos a contenedores y computación sin servidor, dijo. “La facilidad con la que se pueden comprometer los recursos de la nube ha convertido a la nube en un blanco fácil”, dijo en su presentación, “Técnicas de evasión de detección del mundo real en la nube."

DoH, es un criptominero

El malware Denonia se dirige a los entornos sin servidor de AWS Lambda en la nube. “Creemos que es la primera muestra de malware divulgada públicamente para apuntar a entornos sin servidor”, dijo Muir. Si bien la campaña en sí se trata de criptominería, los atacantes emplean algunos métodos avanzados de comando y control que indican que están bien estudiados en la tecnología de la nube.

Los atacantes de Denonia emplean un protocolo que implementa DNS sobre HTTPS (también conocido como DoH), que envía consultas de DNS sobre HTTPS a servidores de resolución basados en DoH. Eso les da a los atacantes una forma de esconderse dentro del tráfico cifrado de modo que AWS no pueda ver sus búsquedas de DNS maliciosas. “No es el primer malware que utiliza DoH, pero ciertamente no es algo común”, dijo Muir. “Esto evita que el malware active una alerta” con AWS, dijo.

Los atacantes también parecían haber lanzado más distracciones para distraer o confundir a los analistas de seguridad, miles de líneas de cadenas de solicitud HTTPS de agente de usuario.

"Al principio pensamos que podría ser una botnet o DDoS... pero en nuestro análisis en realidad no fue utilizado por malware" y, en cambio, era una forma de rellenar el binario para evadir las herramientas de detección y respuesta de punto final (EDR) y el análisis de malware. , él dijo.

Más cryptojacking con CoinStomp y Watchdog

CoinStomp es un malware nativo de la nube que se dirige a los proveedores de seguridad en la nube en Asia con fines de cryptojacking. Su principal modus operandi es la manipulación de marcas de tiempo como técnica anti-forense, así como la eliminación de políticas criptográficas del sistema. También utiliza una familia C2 basada en un shell inverso dev/tcp para integrarse en los entornos Unix de los sistemas en la nube.

Perro guardiánMientras tanto, existe desde 2019 y es uno de los grupos de amenazas centrados en la nube más destacados, señaló Muir. “Son oportunistas al explotar la mala configuración de la nube, [detectando esos errores] mediante el escaneo masivo”.

Los atacantes también confían en la esteganografía de la vieja escuela para evadir la detección, ocultando su malware detrás de archivos de imagen.

“Estamos en un punto interesante en la investigación de malware en la nube”, concluyó Muir. “A las campañas todavía les falta un poco de tecnicismo, lo cual es una buena noticia para los defensores”.

Pero hay más por venir. "Los actores de amenazas se están volviendo más sofisticados" y probablemente pasarán de la criptominería a ataques más dañinos, según Muir.

Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
Fuente: https://www.darkreading.com/cloud/3-ways-attackers-bypass-cloud-security

Inteligencia de datos generativa

3 formas en que los atacantes eluden la seguridad en la nube

DoH, es un criptominero

Más cryptojacking con CoinStomp y Watchdog

Nueva moneda global diseñada para deshacerse del dólar estadounidense y evitar que surjan sanciones mientras los líderes de los BRICS se preparan para reunirse: informe – The Daily Hodl

8 estrategias comerciales esenciales para inversores en criptomonedas – CryptoInfoNet

Información más reciente

Solana está preparada para establecerse como el 'tercer criptoactivo importante' después de Bitcoin y Ethereum: Franklin Templeton – The Daily Hodl

NFTBank presenta NFTBank V2 actualizado para una mejor cartera de NFT y gestión de tesorería de juegos Web3, informa Chainwire – CryptoInfoNet

Presentación del proyecto de oportunidad de financiación colectiva Gedeckte Zwischenfinanzierung (Tramo A) por Swisspeers

Presentación del proyecto de oportunidad de financiación colectiva Endfällige Zwischenfinanzierung (Tramo B) por Swisspeers

BDAG presenta opciones de pago criptográfico, sobre Aave y The Graph

BlockDAG: Fuga de Forbes de 2024 y el enigma detrás: ¿aumentará? Exposición accidental