По мере углубления практик облачной безопасности злоумышленники все чаще находят новые пути для проведения вредоносных действий, используя неиспользуемые или неподдерживаемые облачные области. Платформа MITRE ATT&CK framework классифицирует этот метод как T1535, что подчеркивает необходимость уделять внимание всем аспектам облачной инфраструктуры.
Проблема «неактивных» облачных регионов
Неиспользуемые облачные регионы становятся привлекательными объектами для кибератак, особенно в контексте криптоджекинга. В этих изолированных областях злоумышленники размещают вычислительные ресурсы для майнинга криптовалют. Это может привести к значительным финансовым потерям из-за длительных необнаруженных операций.
Статистика и исследования
Исследования, такие как отчет Unit 42 об утечке переменных среды, показывают реальные случаи, когда хакеры использовали несколько облачных областей для развертывания вредоносных ресурсов, успешно обходя механизмы обнаружения, ориентированные на активные регионы.
Уязвимости облачных сервисов
- Взломанные учетные записи AWS, часто из-за кражи учетных данных или неправильной настройки IAM.
- Недостаток многофакторной аутентификации (MFA).
Примером таких атак служит использование интерфейсов командной строки и SDK для перечисления и активации неиспользуемых областей в учетной записи жертвы. После этого злоумышленники могут:
- Запускать инстансы EC2 для майнинга криптовалют;
- Завышать счета AWS без запуска бюджетных оповещений;
- Хранить несанкционированные резервные копии;
- Устанавливать постоянные бэкдоры для повторного доступа.
Отличия в стратегиях между облачными платформами
В Azure также преобладает аналогичная тактика. Например, предоставление высокопроизводительных виртуальных машин для майнинга или хранение конфиденциальных данных в неконтролируемых учетных записях. Подобные действия становятся возможными благодаря:
- Использованию команд «список учетных записей az-местоположения»;
- Сценариев PowerShell для выявления скрытых областей.
Необходимые меры для обеспечения безопасности
Для борьбы с этими уязвимостями организациям необходимо внедрять надежные стратегии обнаружения и устранения последствий:
- Мониторинг всех облачных регионов;
- Использование встроенных средств безопасности, таких как AWS GuardDuty и Azure Security Center;
- Регулярные проверки и строгие политики развертывания ресурсов.
Эти меры имеют решающее значение для обеспечения видимости и контроля как в активных, так и в неактивных облачных регионах, что поможет минимизировать риски и угрозы для информационной безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Неподдерживаемые облачные области: растущий риск для безопасности".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.