Uma ameaça persistente avançada (APT) descoberta recentemente fornece um exemplo particularmente significativo de como vários serviços em nuvem podem ser combinados dentro da mesma cadeia de ataque para adicionar camadas de sofisticação e evasão.
CloudSorcerer é o nome que os pesquisadores da Kaspersky cunharam para descrever um agente avançado de ameaças que tem como alvo entidades governamentais russas. Como o nome sugere, uma das características desse APT é a exploração de vários serviços legítimos em nuvem para hospedar a infraestrutura de comando e controle (C2) e a zona de entrega dos dados extraídos.
Em particular, o módulo C2 do malware se conecta a um repositório aparentemente legítimo do GitHub contendo bifurcações para três projetos públicos. O diabo está nos detalhes, e é a seção do autor da página que contém uma string codificada. Essa string é recuperada e decodificada pelo módulo C2 do malware e contém o link para os servidores C2 de segundo estágio hospedados em serviços de nuvem legítimos, como Microsoft 365, Dropbox e Yandex Cloud, usando a API das plataformas para extrair os dados. Em termos mais simples, o processo de conexão com a infraestrutura C2 consiste em dois estágios: no primeiro estágio, o GitHub (e mail.ru como substituto) é usado para recuperar a infraestrutura do segundo estágio hospedada em serviços legítimos separados. Uma versão nativa da nuvem de uma técnica conhecida chamada Dead Drop Resolver.
Como a Netskope reduz o risco de serviços legítimos de nuvem explorados para uma infraestrutura de comando e controle
GitHub, Microsoft 365, Dropbox e Yandex Cloud estão entre os milhares de serviços em nuvem em que o Netskope Next Gen SWG pode fornecer controle de acesso adaptável, proteção contra ameaças e prevenção contra perda de dados com uma granularidade impossível para qualquer outra tecnologia de segurança na Web. GitHub, Microsoft 365 e Dropbox também estão entre as centenas de aplicativos em nuvem para os quais a detecção de instâncias está disponível. Portanto, nos casos em que esses serviços ou aplicativos similares de armazenamento em nuvem são explorados por atacantes externos para entregar uma carga maliciosa ou hospedar a infraestrutura de comando e controle (como no caso do CloudSorcerer), é possível configurar uma política para impedir atividades potencialmente perigosas (como “Upload” e “Download”) do serviço específico ou de toda a categoria à qual ele pertence (ou, obviamente, bloquear completamente o serviço desnecessário). O controle de acesso granular pode ser estendido no nível da instância única para GitHub, Microsoft 365 e Dropbox.
Os clientes da Netskope também estão protegidos contra malware distribuído a partir da nuvem (e da Web em geral) pelo Netskope Threat Protection. O Netskope Threat Protection verifica o tráfego da Web e da nuvem para detectar ameaças conhecidas e desconhecidas com um conjunto abrangente de mecanismos, incluindo AV baseado em assinatura, detectores de aprendizado de máquina para executáveis e documentos do Office e sandboxing com proteção paciente zero. Os recursos de proteção contra ameaças podem ser aprimorados ainda mais com o Netskope Cloud Exchange, que oferece integrações avançadas para alavancar os investimentos na postura de segurança dos usuários por meio da integração com ferramentas de terceiros, como feeds de inteligência contra ameaças, proteção de terminais e tecnologias de proteção de e-mail.
Por fim, o Netskope Advanced Analytics fornece painéis específicos para avaliar o risco de instâncias de nuvem não autorizadas serem exploradas para fornecer malware ou o risco de se tornar alvo de comunicações anômalas, com detalhes e percepções detalhadas, dando suporte às equipes de segurança no processo de análise e mitigação/remediação.
Fique seguro!