Malware kan nå unngå skysikkerhetsverktøy, da nettkriminelle er rettet mot offentlige nettskybrukere

Hvor sofistikert phishing gir angripere total kontroll over datamaskinen din. Phishing handler om den dårlige fyren og lure offeret, sier Kevin Mitnick, grunnlegger av Mitnick Security Consulting. Mitnick vet om skurkene - han pleide å være en.

Malware-prøver assosiert med den kinesiske trusselaktøren Rocke Group er nå i stand til å avinstallere skysikkerhetsprodukter, ifølge en analyse fra forskere ved Palo Alto Networks Unit 42, i en rapport publisert torsdag.

De nyoppdagede malware-prøvene utnytter ikke en spesifikk sårbarhet for skysikkerhetsprodukter; snarere er skadelig programvare konstruert for å få administratoradgang på en gitt skyforekomst og avinstallere programvaren slik enhver administrator ville være i stand til.

Rocke Groups modus operandi utnytter sårbarheter i web-tjenester inkludert Apache Struts 2, Oracle WebLogic og Adobe ColdFusion, og gir en bakdør for angriperen for å få shell-tilgang, der Monero cryptocurrency gruvesoftware er installert på målsystemet. Malware-prøver som stammer fra gruppen har historisk sett inkludert kommandoer for å stoppe og fjerne annen cryptocurrency-programvare.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

De nyoppdagede prøvene inkluderer tilleggsinstruksjoner for å blokkere populære sikkerhetsprodukter som brukes på Alibaba og Tencent skyplattformer, inkludert Alibaba Threat Detection Service, Alibaba CloudMonitor, Alibaba Cloud Assistant, Tencent Host Security og Tencent Cloud Monitor. I utgangspunktet er dette agentbaserte sikkerhetsprodukter som krever installasjon i skyhostede instanser, noe som setter dem innenfor rekkevidden til denne skadelige programvaren.

Ettersom Rocke Group antas å være basert i Kina, har denne oppførselen bare blitt vist med sikkerhetsprodukter brukt til kinesiske skytjenester. Forskere ved Unit 42 uttrykker bekymring for at malware-forfattere stort sett vil ta i bruk oppførselen til å avinstallere skysikkerhetsløsninger for å unngå deteksjon. Disse bekymringene er berettiget til en viss grad, siden denne oppførselen lenge har eksistert med malware som avinstallerer desktop-sikkerhetsløsninger. Noen hensyn for å opprettholde sikkerhetsintegritet i lys av denne angrepsstrategien eksisterer.

Spontant fravær av et program som forventes å eksistere på en gitt instans, bør betraktes som et tegn på at noe har gått veldig galt. Enterprise sikkerhetsprodukter reagerer vanligvis bare når en anomali oppdages, selv om bruk av en slags periodisk fyr for å indikere definisjonsoppdateringer, etc., på et minimum proaktivt vil gi forsikring til IT-interessenter om at sikkerhetsprogramvare fungerer normalt. Dette trenger ikke nødvendigvis være en funksjon i sikkerhetsagentens programvare - det kan utføres ved hjelp av cron for å sjekke om det eksisterer en prosess.

Malware som kan få root-tilgang, vil like lett kunne smi slike beacons som å avinstallere sikkerhetsprogramvare, noe som begrenser effektiviteten til denne ideen. Antall tilgjengelige sikkerhetsleverandører og -produkter gjør det upraktisk for nyttelast for malware perfekt avinstallere og klone beacons for alle mulige konfigurasjoner. Attributter for det kinesiske skymarkedet kan gjøre dette til et lettere angrep lokalt enn i markeder med mer forskjellige valg.

Til slutt kan det å stole på en skyinstans for å selvrapportere helse være ufullkommen, ettersom all skadelig programvare som kan få root-tilgang, teoretisk sett vil være i stand til å avinstallere sikkerhetsprodukter eller forfalske sikkerhetsfyrer som beskrevet ovenfor. Når det gjelder beskyttelsesringer, vil overvåking av skyforekomstaktivitet fra Ring -1 være sikker mot slike angrep. På dette nivået vil brudd på sikkerhetsovervåking kreve bruk av eksponentielt mer utfordrende rømningssårbarheter for virtuell maskin.

De store takeawayene for teknologiledere:

  • Nyoppdagede malware-prøver bruker rottilgang for å avinstallere skysikkerhetsprogramvare, slik at de kan speiles i årevis i skadelig programvare.
  • Å stole på en skyinstans for å selvrapportere helse kan være ufullkommen, ettersom all skadelig programvare som kan få root-tilgang, kan avinstallere sikkerhetsprodukter eller smi sikkerhetsfyr.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com