Когато облакът се превръща в инфраструктура за атаки

С нарастващата зависимост на организациите от облачни услуги, киберпрестъпниците също променят стратегията си. Класическата техника Living off the Land, при която атакуващите използват легитимни системни инструменти, постепенно се трансформира в нов модел – „Living off the Cloud“.

Вместо да използват локални инструменти като PowerShell или Windows Management Instrumentation, атакуващите вече се възползват от:

• облачни API интерфейси

• SaaS платформи

• системи за идентичност

• административни облачни конзоли

Така злонамереният трафик се смесва с нормалната бизнес комуникация, което значително затруднява откриването му.

Как атакуващите използват облачната инфраструктура

Командно управление през SaaS платформи

Изследователи от Google и Mandiant наскоро разкриха кампания за кибершпионаж, приписвана на групата UNC2814.

В центъра на операцията стои зловредният софтуер Gridtide, който използва Google Sheets като канал за командно управление (C2).

Малуерът:

• използва Service Account токен

• проверява конкретни клетки в таблицата за инструкции

• записва резултатите от изпълнените задачи обратно в документа

Така комуникацията изглежда като нормален трафик към легитимна SaaS услуга.

Скриване на C2 трафик в API услуги

Някои малуерни инструменти започват да използват API на популярни платформи за управление на комуникацията.

Пример е бекдорът SesameOp, който маршрутизира командния си трафик през OpenAI Assistants API.

Трафикът изглежда като обикновена разработка на ИИ приложения, което затруднява откриването му от защитните системи.

Злоупотреба с облачни API платформи

Някои малуерни семейства използват Microsoft Graph API за управление на командите.

Примери включват:

• VEILDrive

• зловредни варианти на Havoc Framework

Малуерът се удостоверява към легитимни Microsoft SharePoint или Microsoft OneDrive акаунти, откъдето:

• изтегля файлове с команди

• записва резултати от изпълнението

Всичко това изглежда като обикновен потребителски трафик.

Съхранение на малуер в облачно хранилище

Атакуващите все по-често съхраняват вторични payload-и в облачни storage услуги като Amazon S3.

Предимствата за атакуващите са:

• по-малък отпечатък на малуера върху компрометираната система

• възможност за смяна на payload без повторно внедряване

• използване на доверена инфраструктура

Екфилтрация на данни чрез популярни комуникационни платформи

Вместо класически FTP или Pastebin услуги, атакуващите вече използват корпоративни комуникационни платформи като:

• Slack

• Discord

В някои атаки компрометирани сървъри изпращат HTTPS POST заявки към:

• api.slack.com

• hooks.slack.com

• discord.com

По този начин се изнасят:

• AWS ключове за достъп

• SSH ключове

• вътрешни API токени

Пълни облачни атаки от край до край

Някои кампании вече реализират цялата kill chain в облака.

Една от тях е свързана с китайската група Genesis Panda.

Атаката включва:

1. извличане на креденшъли чрез AWS Instance Metadata Service

2. съхранение на payload-и в облачно хранилище

3. маршрутизиране на C2 трафик през домейни, имитиращи облачни услуги

4. използване на облачни compute ресурси за екфилтрация

В този сценарий облакът не е целта на атаката – той е цялата оперативна инфраструктура.

Социално инженерство чрез доверена инфраструктура

Фишинг кампании също започват да използват облачни платформи.

Групата APT29, известна още като Cozy Bear, използва фишинг линкове, които пренасочват към реални страници за вход в Microsoft 365.

Жертвите виждат само легитимна инфраструктура на Microsoft, което прави традиционното откриване чрез подозрителни домейни неефективно.

Злоупотреба със serverless инфраструктура

Атакуващите използват serverless услуги като:

• AWS Lambda

• Azure Functions

В кампанията HazyBeacon хиляди временни функции са използвани за сканиране на мрежи.

Всяка функция:

• сканира малък сегмент от мрежата

• приключва работа

• се заменя с нова

Трафикът идва от IP адреси на Amazon, които предприятията не могат да блокират без да прекъснат собствените си облачни услуги.

Облачни тунели за заобикаляне на firewall защита

Атакуващите използват легитимни tunneling услуги като:

• Cloudflare Tunnel

• ngrok

След компрометиране на вътрешен сървър се създава изходящ HTTPS тунел към облака, който позволява стабилен канал за C2 комуникация.

За защитните екипи това изглежда като нормален криптиран трафик към доверена услуга.

Кражба на цели дискове чрез snapshot механизми

Някои групи използват облачни функции за snapshot споделяне.

Например:

• Scattered Spider

• Storm-0501

Атакуващият:

1. създава snapshot на диска на сървъра

2. използва API функцията ModifySnapshotAttribute

3. споделя snapshot-а с контролирана облачна сметка

След това данните могат да бъдат анализирани офлайн.

Кражба на тайни от облачни vault системи

Вместо да извличат креденшъли от крайни устройства, атакуващите започват директно да заявяват секрети чрез облачни API.

Пример е злоупотребата със:

• AWS Secrets Manager

Тази техника позволява:

• извличане на ключове

• избягване на endpoint detection системи

Нова генерация облачен малуер

Изследователи откриват и напълно облачно ориентирани малуерни рамки.

Една от тях е VoidLink, разработена за атаки срещу:

• Amazon Web Services

• Microsoft Azure

• Google Cloud Platform

• Kubernetes

Рамката включва:

• модулни импланти

• rootkit компоненти

• механизми за постоянство

Новото предизвикателство пред защитата

Тенденцията „Living off the Cloud“ показва, че облакът се превръща не само в цел на атаки, а и в основна инфраструктура за тях.

Защитата трябва да се адаптира чрез:

• наблюдение на API активности

• анализ на поведението в облака

• управление на идентичностите и токените

• защита на SaaS интеграциите

Традиционните защити, базирани на блокиране на домейни или IP адреси, вече не са достатъчни.