Los investigadores de SophosLabs encontraron un ataque sofisticado que utiliza una combinación única de técnicas para evadir la detección y que permite que el malware se comunique con sus servidores de comando y control (C2) a través de un firewall. Apodado "Cloud Snooper", el ataque se descubrió durante la investigación de una infección de malware de servidores de infraestructura en la nube alojados en la nube de Amazon Web Services (AWS) y parece ser el trabajo de un actor de amenazas patrocinado por algún estado.
“Aunque descubrimos la técnica en uso en AWS, el problema no es un problema de AWS per se. Representa un método de aprovechar el tráfico C2 en un tráfico legítimo, como el tráfico web normal, de una manera que puede evitar muchos, si no la mayoría, los firewalls ”, dijo Sophos.
En el ataque observado, los sistemas comprometidos ejecutaban instancias de Linux y Windows EC2. Si bien los grupos de seguridad de AWS se configuraron para permitir solo el tráfico entrante HTTP o HTTPS, el sistema Linux pirateado seguía escuchando las conexiones entrantes en los puertos 2080 / TCP y 2053 / TCP.
Un análisis más detallado reveló que el sistema comprometido estaba infectado con un rootkit que permitía a sus operadores controlar de forma remota el servidor a través de los SG de AWS, así como comunicarse y controlar de forma remota el malware en cualquier servidor detrás de cualquier firewall perimetral, incluso un servidor local. . Los investigadores identificaron múltiples hosts Linux, infectados con el mismo rootkit o un similar y un sistema Windows con una puerta trasera basada en el malware Gh0st RAT que se comunicaba con un C2 similar a otros hosts Linux comprometidos de manera similar.
Sophos no ha podido identificar cómo exactamente los atacantes lograron violar el sistema del cliente en primer lugar, pero los investigadores creen que los piratas informáticos pueden haber accedido al servidor a través de SSH, protegidos con autenticación de contraseña.
La infección involucra un rootkit que inspecciona el tráfico de la red y una puerta trasera que se comunica con el servidor de comando y control a través del rootkit.
Para evitar el firewall del servidor, los atacantes disfrazaron el tráfico C2 como tráfico legítimo, asegurando así que el firewall no bloquee el tráfico que contiene instrucciones para el malware o el tráfico que contiene datos enviados de regreso al servidor C2.
“Para evitar las reglas del firewall, los atacantes se comunican con el rootkit enviando solicitudes de aspecto inocente al servidor web en los puertos normales del servidor web. Un oyente que inspecciona el tráfico entrante antes de que llegue al servidor web intercepta las solicitudes especialmente diseñadas y envía instrucciones al malware en función de las características de esas solicitudes ”, explicó Sophos.
“El oyente envía un comando C2 'reensamblado' al troyano instalado por el rootkit. Dependiendo de los comandos incluidos en el tráfico C2, el atacante puede usar la puerta trasera para robar datos confidenciales del objetivo. Los datos recopilados se devuelven con el tráfico C2. Solo que esta vez, el rootkit tiene que enmascararse nuevamente para evitar el [firewall] una vez más para evitar a los guardias: el lobo se viste de nuevo con piel de oveja. Una vez afuera, el tráfico C2 devuelve los datos recopilados a los atacantes ".
Durante una operación completa, el tráfico web normal sigue fluyendo hacia y desde el servidor web a través de la puerta permitida, mientras que el tráfico C2 permanece en gran medida indistinguible del tráfico web legítimo.
“Este caso es extremadamente interesante ya que demuestra la verdadera naturaleza multiplataforma de un ataque moderno. Cuando se trata de prevención contra este o ataques similares, los SG de AWS proporcionan un firewall de límite robusto para instancias EC2. Sin embargo, este firewall no elimina la necesidad de que los administradores de red mantengan todos los servicios externos completamente parcheados ”, concluyeron los investigadores.
https://news.sophos.com/en-us/2020/02/25/cloud-snooper-attack-bypasses-firewall-security-measures/.
https://www.cybersecurity-help.cz/blog/961.html
