fbpx
GeneralTecnología

Los hackers usan las características de la nube pública para incumplir y persistir en las redes empresariales

Los atacantes están abusando de las características de los servicios en la nube para lanzar y ocultar su actividad a medida que atraviesan las redes objetivo.

Un nuevo cuerpo de evidencia indica que los actores amenazados están utilizando técnicas cada vez más avanzadas para dirigirse a los usuarios de la nube no segura y aprovechar las características comunes a las plataformas de la nube pública para ocultar la actividad cuando infringen y persisten en las redes objetivo.

Los datos provienen del equipo de seguridad de Threat Stack, que detectó el patrón durante varios años de comportamiento de observación en las redes de los clientes. Fue en 2016 cuando notaron que los ataques que aprovechaban Amazon Web Services (AWS) se estaban volviendo más sofisticados, dice CSO Sam Bisbee. La tendencia repuntó en 2017.

El problema, señala el equipo, no es con AWS, sino con la forma en que los atacantes lo usan maliciosamente.

“Estos no son exploits o vulnerabilidades en los servicios y software de AWS”, explica Bisbee. “Se trata de las características y atributos de AWS aprovechados por los atacantes de formas más sofisticadas”.

En los ataques más simples, los actores suelen robar las claves AWS y buscar rutas directas a los recursos almacenados en los segmentos S3 abiertos, o lanzan una nueva nube elástica de Amazon Elastic (EC2) para extraer criptomonedas. A veces no tienen que mirar muy lejos: los contenedores S3 mal configurados han sido noticia en los últimos años. Amazon enfatiza que los segmentos S3 están protegidos por defecto; también lanzó a  Macie para proteger los datos de AWS S3 y proporciona cheques gratis a través de Trusted Advisor.

Si bien estas técnicas menos avanzadas siguen siendo problemáticas, Bisbee dice que las amenazas que aprovechan AWS son cada vez más complejas y específicas, con ataques lanzados contra las características de AWS y combinados con ataques de intrusión basados ​​en la red.

“En cualquier industria y cualquier plataforma, constantemente estás jugando al gato y al ratón”, dice. “A medida que los equipos azules y los defensores se vuelven más sofisticados, el equipo rojo debe subir de nivel”.

Cómo funciona

La mayoría de estos ataques comienzan con el robo de credenciales, que según Bisbee es el punto de entrada inicial más común. Un atacante puede robar claves de acceso o credenciales a través de ataques de phishing, implementar malware que toma nombres de usuario y contraseñas, y arrebatar datos de un repositorio de Github donde un desarrollador puede haber subido accidentalmente su información.

Las credenciales aseguradas, el siguiente paso es averiguar qué nivel de permisos se puede alcanzar. Si un actor se da cuenta de que no tiene lo que necesita, puede intentar crear roles o credenciales adicionales en AWS y luego lanzar una nueva instancia de EC2 dentro del entorno de destino. Sin embargo, las credenciales robadas deben tener acceso a IAM para crear nuevas funciones, lo que AWS no permite de manera predeterminada.

“Por lo general, como la mayoría de las cuentas de AWS están configuradas, puedo implementar esa instancia de AWS en cualquier lugar de la red que desee”, dice Bisbee. Podría ir al límite o al centro de la red, donde se encuentran la infraestructura y las bases de datos más interesantes de una organización.

En este punto, el atacante ha establecido una cabeza de playa en la red desde la que se puede escanear el objetivo. El atacante puede moverse lateralmente desde su instancia EC2 en una cadena de ataque de red tradicional, explica Bisbee, explotando diferentes hosts en la red.

Al aterrizar en un nuevo host, el atacante verifica sus permisos de AWS. Si el atacante solo está buscando una pequeña cantidad de datos, puede filtrar a través de la terminal o cadena de hosts comprometidos, evitando las herramientas DLP. Sin embargo, la cantidad deseada de datos depende del actor y su motivación.

Quién, dónde y por qué

Este patrón de comportamiento se ve generalmente en patrones de ataque más persistentes y dirigidos, dice Bisbee. La mayoría de los actores intentan acceder a datos específicos y, en general, están alcanzando objetivos en industrias populares, como las manufactureras, las financieras y las tecnológicas.

La cantidad de datos buscados depende del objetivo, agrega. Si una empresa está almacenando información de atención médica o registros de votantes, el atacante está buscando datos a granel. Si el atacante está apuntando a una empresa de medios, es posible que solo desee contenido publicado previamente o algo más específico. Debido a que los datos se pueden extraer copiando y pegando o recortando una captura de pantalla, es difícil detectar el robo.

Una razón por la cual el movimiento lateral en el escenario AWS fue difícil de detectar fue porque la mayoría de las técnicas de monitoreo de seguridad suponen que un atacante querrá sumergirse profundamente en el host y escalar los privilegios. En este caso, los actores intentaban salir de la capa de host y regresar al plano de control de AWS, que la mayoría de los equipos azules no están buscando. AWS “es tan crítico como los servidores subyacentes”, dice Bisbee. “Debe supervisar todos los aspectos de su entorno”.

Amazon ha implementado múltiples servicios para impulsar la seguridad de AWS. GuardDuty, un servicio administrado de detección de amenazas, está diseñado para monitorear el comportamiento malicioso o no autorizado (llamadas API inusuales, implementaciones potencialmente no autorizadas) y ayudar a los usuarios de AWS a proteger sus cuentas y cargas de trabajo. Amazon Inspector, un servicio separado, automatiza las evaluaciones de seguridad para garantizar la seguridad y el cumplimiento de las aplicaciones implementadas en AWS.

Fuente: darkreading