Zurück
Eine kürzlich entdeckte Advanced Persistent Threat (APT) ist ein besonders aussagekräftiges Beispiel dafür, wie mehrere Cloud-Dienste innerhalb derselben Angriffskette kombiniert werden können, um zusätzliche Ebenen an Raffinesse und Umgehung hinzuzufügen.
„CloudSorcerer“ ist der Name, den die Forscher bei Kaspersky geprägt haben, um einen hochentwickelten Bedrohungsakteur zu beschreiben, der es auf russische Regierungseinrichtungen abgesehen hat. Wie der Name schon sagt, besteht eines der Merkmale dieses APT darin, dass mehrere legitime Cloud-Dienste ausgenutzt werden, um die Befehls- und Kontrollinfrastruktur (C2) und die Ablagezone für die exfiltrierten Daten zu hosten.
Insbesondere stellt das C2-Modul der Malware eine Verbindung zu einem scheinbar legitimen GitHub- Repository her, das Forks zu drei öffentlichen Projekten enthält. Der Teufel steckt im Detail: Der Autorenabschnitt der Seite enthält eine codierte Zeichenfolge. Diese Zeichenfolge wird vom C2-Modul der Schadsoftware abgerufen und dekodiert und enthält den Link zu den C2-Servern der zweiten Stufe, die auf legitimen Cloud-Diensten wie Microsoft 365, Dropbox und Yandex Cloud gehostet werden, wobei die API der Plattformen zum Exfiltrieren der Daten verwendet wird. Einfacher ausgedrückt besteht der Prozess der Verbindung mit der C2-Infrastruktur aus zwei Phasen: In der ersten Phase wird GitHub (und mail.ru als Fallback) verwendet, um die Infrastruktur der zweiten Phase abzurufen, die auf separaten legitimen Diensten gehostet wird. Eine Cloud-native Version einer bekannten Technik namens Dead Drop Resolver.
Wie Netskope das Risiko verringert, dass legitime Cloud-Dienste für eine Befehls- und Kontrollinfrastruktur missbraucht werden
GitHub, Microsoft 365, Dropbox und Yandex Cloud gehören zu den Tausenden von Cloud-Diensten, bei denen die Netskope Next Gen SWG adaptive Zugriffskontrolle, Bedrohungsschutz und Verhinderung von Datenverlust mit einer Granularität bieten kann, die für keine andere Web-Sicherheitstechnologie möglich ist. GitHub, Microsoft 365 und Dropbox gehören ebenfalls zu den Hunderten von Cloud-Anwendungen, für die eine Instanzerkennung verfügbar ist. Wenn diese Dienste oder ähnliche Cloud-Storage-Apps von externen Angreifern ausgenutzt werden, um bösartige Payloads zu übermitteln oder die Befehls- und Kontrollinfrastruktur zu hosten (wie im Fall von CloudSorcerer), ist es möglich, eine Richtlinie zu konfigurieren, um potenziell gefährliche Aktivitäten (wie „Upload“ und „Download“) von dem jeweiligen Dienst oder der gesamten Kategorie, zu der er gehört, zu verhindern (oder natürlich den nicht benötigten Dienst vollständig zu blockieren). Die granulare Zugriffskontrolle kann auf der Ebene der einzelnen Instanzen für GitHub, Microsoft 365 und Dropbox erweitert werden.
Netskope-Kunden sind durch Netskope Threat Protection außerdem vor aus der Cloud (und dem Internet im Allgemeinen) verbreiteter Malware geschützt. Netskope Threat Protection scannt den Web- und Cloud-Datenverkehr, um bekannte und unbekannte Bedrohungen mit einem umfassenden Satz von Engines zu erkennen, darunter signaturbasierter Antivirus, maschinelles Lernen als Detektor für ausführbare Dateien und Office-Dokumente sowie Sandboxing mit Patient Zero Protection. Die Bedrohungsschutzfunktionen können durch Netskope Cloud Exchange noch weiter verbessert werden. Netskope Cloud Exchange bietet leistungsstarke Integrationen, um Investitionen in die Sicherheitslage der Benutzer durch die Integration mit Tools von Drittanbietern wie Threat Intelligence Feeds, Endpunktschutz und E-Mail-Schutztechnologien optimal zu nutzen.
Schließlich bietet Netskope Advanced Analytics spezifische Dashboards zur Bewertung des Risikos, dass nicht autorisierte Cloud-Instanzen ausgenutzt werden, um Malware zu verbreiten, oder des Risikos, Ziel anomaler Kommunikation zu werden, mit umfangreichen Details und Einblicken, die Sicherheitsteams bei der Analyse und Abwehr/Behebung unterstützen.
Bleiben Sie gesund!
Den Blog lesen