0
0
À medida que as organizações transitam para ambientes de nuvem, os cibercriminosos também os visam. Aprender as técnicas de ataque mais recentes pode ajudar as empresas a se prepararmelhor para ameaças futuras.
“Toda vez que você vê a mudança tecnológica, eu acho que você certamente vê os atacantes inundar em qualquer ataque a essa mudança tecnológica ou montar a onda de mudança”, disse Anthony Bettini, CTO da WhiteHat Security, em um painel na Conferência RSA da semana passada. Pode ser esmagador para as equipes de segurança quando as organizações correm de cabeça para a nuvem sem consultá-los, colocando dados e processos em risco.
Os atacantes estão sempre procurando novas maneiras de aproveitar a nuvem. Considere o ataque “Cloud Snooper” recentemente descoberto,que usa um rootkit para trazer tráfego malicioso através do ambiente Amazon Web Services da vítima e firewalls on-prem antes de lançar um Trojan de acesso remoto em servidores baseados em nuvem. À medida que estes continuam a aparecer, muitos criminosos dependem de métodos experimentados e verdadeiros, como credenciais de força bruta ou acesso a dados armazenados em um balde S3 desconfigurado. Há muito o que acompanhar, dizem os profissionais de segurança.
“Quando você está tomando suas habilidades de segurança existentes e está se mudando para um ambiente totalmente diferente, então é um desafio incrível descobrir no que você realmente precisa se concentrar, bem como no que está acontecendo lá fora na palavra real”, disse Rich Mogull, analista com Securosis e CISO de DisruptOps, em uma conferência rsa falar sobre cadeias de morte de ataque na nuvem.
Exposição de credenciais levando ao sequestro de contas
A exposição de credenciais de API que levam a um seqüestro de conta é uma cadeia de mortes de ataque de alta gravidade e alta probabilidade na nuvem. “Este ataque em particular é realmente um dos mais comuns”, disse Mogull, da Securosis, em uma palestra da Conferência RSA.
Por credenciais estáticas, ele quer dizer coisas como chaves de acesso ou, no Azure, um token de software como serviço (SaaS). “Temos que usá-los porque se você quer algo no local que fale com a nuvem … em algum momento você precisa da capacidade de ter algum tipo de credencial de nome de usuário/senha”, explicou.
Quando um invasor obtém uma dessas chaves de acesso, ele pode usá-la a partir de um host ou plataforma seu controle e executar chamadas de API para ação maliciosa ou escalada de privilégios. As chaves são frequentemente expostas via GitHub, BitBucket, imagens compartilhadas, instantâneos – “em todo o lugar”, continuou ele. Os atacantes descompilarem aplicativos da Google Play Store e puxam credenciais estáticas e, em seguida, usam-nas. Alguém poderia invadir o laptop ou instância de um desenvolvedor e olhar seu histórico de comandoou arquivos de configuração para encontrar uma chave de acesso que os permitiria entrar em um ambiente na nuvem.
“Este é realmente o maior vetor, acredito, para ataques em nuvem hoje … um desses métodos”, disse Mogull. “Em particular, postar coisas publicamente.” Ele aconselhou os participantes a minimizar o uso de suas credenciais e escanear em repositórios de código e GitHubs corporativos. Uma vez que essas chaves são postadas publicamente, ele disse, é uma questão de minutos antes de serem tentadas contra sua infra-estrutura.
Percalços de má configuração
A má configuração é em grande parte, ou pelo menos em parte, “o rebranding da TI sombra”, disse o CISO global da Starbucks, Andy Kirkland, em uma palestra na Cúpula da CSA deste ano. “Qualquer um pode pegar um balde S3 e fazer o que quiser com ele.” Ataques ligados à configuração errada ainda acontecem porque as organizações com tanta freqüência não conseguem proteger suas informações na nuvem pública.
Nesses cenários, dados confidenciais são colocados no armazenamento de objetos e protegidos incorretamente. O controle de acesso pode ser definido como público ou anônimo; a política de balde ou rede pode ser excessivamente permissiva; ou o CDN público está definido para acessar dados privados. Um invasor verifica e descobre um armazenamento de dados aberto, em seguida, extrai os dados que deseja.
“Esses padrões são seguros, mas podem ser tornados públicos facilmente”, disse Mogull, de baldes de nuvens. Os provedores de nuvem fornecem ferramentas para reduzir isso, mas ainda pode ser uma dor para as organizações. Ele aconselhou avaliação contínua e atenção especial às permissões de nível de objeto: Quando você muda as permissões de nível de balde, ele disse, nem sempre muda as permissões de nível de objeto.
“Isso é realmente difícil de lidar, porque há algumas organizações com muitos milhares e milhões de objetos nesses ambientes que eles agora têm que [passar] para tentar encontrar”, disse ele. A melhor coisa a fazer, acrescentou, é usar o controle para “não deixar ninguém tornar isso público”. Se algo precisa ser tornado público, disse Mogull, você pode configurar o ambiente para que tudo seja deixado como está, mas nada mais pode ser tornado público no futuro.
“Cargas de trabalho cada vez mais críticas estão na nuvem pública”, disse Johnnie Konstantas, diretor sênior de gerenciamento de produtos de segurança da Oracle Cloud. “Eu acho… o ônus recai sobre os provedores de nuvem pública para ter essa conversa e falar sobre o que deve ser feito.”
Principais serviços de nuvem são alvos quentes
À medida que as organizações se movem para a nuvem, os cibercriminosos continuam a fazer o mesmo. Isso é evidente em ataques de phishing imitando as páginas de login de serviços populares em nuvem, como o Office 365. Os cibercriminosos estão atrás de credenciais que lhes darão as chaves dos serviços de nuvem.
“Infelizmente, muitas pessoas ainda usam credenciais fracas”, disse Jon Clay, chefe de comunicações de ameaças globais da Trend Micro. “Com recheio de credenciais… parte disso, os atacantes estão começando a posicionar e-mails de phishing com páginas de phishing ligadas à infra-estrutura e contas na nuvem.”
Os cibercriminosos estão fazendo maior uso da nuvem pública, informa a Imperva em seu mais recente Índice de Ameaças Cibernéticas, que encontrou um aumento de 16% nos ataques na Web originários da nuvem pública entre novembro e dezembro de 2019. A Amazon Web Services foi a fonte mais popular, respondendo por 52,9% de todos os ataques originários da nuvem pública. A Imperva, que forneceu essa estatística após a normalização dos dados, diz que isso indica que os provedores de nuvem devem auditar comportamentos maliciosos em suas plataformas.
Em outra reviravolta sobre o abuso dos principais serviços de nuvem, pesquisadores relataram um novo downloader na natureza usado principalmente para baixar Trojans de acesso remoto e ladrões de informações. O “GuLoader” está se tornando popular entre vários grupos de ameaças e normalmente armazena cargas criptografadas no Google Drive ou no Microsoft OneDrive, informa o Proofpoint. É frequentemente visto embutido em um arquivo de contêiner, como .iso ou .rar, mas os pesquisadores também o viram baixado diretamente de plataformas de hospedagem em nuvem.
Mineração criptográfica
Quando eles entram na nuvem, muitos intrusos continuam a se envolver em criptomineração: um ataque de baixa gravidade e alta probabilidade que a maioria das empresas enfrenta. “Cada um de vocês com uma conta na nuvem já lidou com isso”, disse Mogull.
Como ele funciona: um invasor pode obter credenciais com RunInstance, máquina virtual ou um contêiner, executar uma grande instância ou máquina virtual, executar e injetar um criptominerador e conectar-se a uma rede e exfiltrar os resultados. Alternativamente, eles poderiam comprometer uma instância exposta, máquina virtual ou contêiner e injetar o criptominerador lá. “Setenta e oito por cento de todos os ataques cibernéticos são orientados financeiramente”, disse Shawn Harris, arquiteto principal de segurança da Starbucks, em sua conversa com a RSA com mogull. “Esta é uma maneira muito rápida de monetizar esse acesso.”
Os servidores ainda são a melhor plataforma para criptominas, disse O Barro da Trend Micro, mas os atacantes com acesso estão tomando medidas para ocultar suas atividades. Muitos costumavam “pegar tudo no sistema”, o que as vítimas notariam. Agora eles estão estrangulando suas atividades para voar o radar das empresas.
Falsificação de solicitação do lado do servidor
A falsificação de solicitações do lado do servidor (SSRF) é um método de ataque perigoso e um problema crescente em ambientes de nuvem. O SSRF é uma ameaça devido ao uso da API de metadados, que permite que os aplicativos acessem configurações, logs, credenciais e outras informações na infra-estrutura de nuvem subjacente. A API de metadados só pode ser acessada localmente; no entanto, uma vulnerabilidade SSRF torna-a acessível a partir da Internet. Se explorado, poderia permitir que um invasor se movesse lateralmente e conduzisse o reconhecimento da rede.
É um ataque mais complexo, disse Mogull. Um invasor primeiro identifica uma instância ou contêiner com uma falha potencial de SSRF, explora-o para extrair credenciais através do serviço de metadados e estabelece uma sessão com credenciais no ambiente do invasor. A partir daí, o invasor pode executar uma chamada de API para escalar privilégios ou tomar outras ações maliciosas.
Algumas coisas precisam acontecer para que o SSRF seja bem sucedido: algo deve ser exposto à Internet, deve conter uma vulnerabilidade SSRF, e deve ter privilégios de gerenciamento de identidade e acesso (IAM) que permitem que ele funcione em outro lugar. Agora ele também deve ter a versão um do serviço de metadados, acrescentou.
Lacunas na cadeia de suprimentos em nuvem
Haiyan Song, vice-presidente sênior e gerente geral de mercados de segurança da Splunk, não acha que as organizações tenham pensado o suficiente na cadeia de suprimentos digital em nuvem como um potencial risco de segurança ou considerando as implicações da resposta a incidentes neste Ambiente.
“Muitos dos serviços que consumimos, aplicativos que usamos… nunca é apenas de uma empresa”, explica. Quando você pede um carro através de um aplicativo de compartilhamento de carona, por exemplo, há vários jogadores envolvidos: uma empresa de pagamentos que lida com transações, outra que fornece dados GPS. No caso de alguém ter violado uma parte desse processo para enviar pessoas ao lugar errado, como você procederia com a resposta a incidentes quando todas essas APIs são controladas por diferentes fornecedores?
“Estamos na economia da API”, acrescenta Song. Os aplicativos são construídos usando serviços de API, mas se algo der errado na nuvem, as organizações por trás deles precisarão de visibilidade e processos para lidar com isso. Existe um acordo de nível de serviço (SLA) e um acordo para resposta a incidentes? Como proporcionamos visibilidade e rastreamento? Sabe quem são seus provedores? Você pode ver suas reputações? “É útil saber que você está trabalhando com um fornecedor que está em boa forma”, acrescenta.
Força Bruta e Acesso como Serviço
Os ataques de força bruta são o ponto alto para o Clay da Trend Micro, que diz que os atacantes começaram a criar e-mails de phishing com links para páginas maliciosas vinculadas à infra-estrutura e contas na nuvem. Os pop-ups podem solicitar que as vítimas insiram seus nomes de usuário e senhas em páginas de login falsas para o Office 365 e outros aplicativos na nuvem.
“Todos estão procurando credenciais”, diz ele. Alguns atacantes usam o acesso para criptomineração ou busca de dados. Alguns não fazem nada: uma tendência que Clay vê crescendo é a venda de acesso como serviço na Dark Web. Os invasores têm acesso ao ambiente de nuvem de uma organização e, em seguida, gerenciam esse acesso para outro grupo de ameaças; por exemplo, os operadores do Emotet podem vender seu acesso aos operadores de ransomware Sodinokibi ou Ryuk. Clay observa que essa técnica é popular entre grupos de ransomware, que podem contornar o esforço de invadir um negócio-alvo.
“Os caras do acesso recebem o dinheiro do grupo criminoso, que recebe dinheiro das vítimas”, explica. “[Estamos] também começando a ver menos malware e mais hacking direto uma vez que eles estão dentro.”
FONTE: DARK READING