Чтобы идентифицировать плохой контент, исследователи создали инструмент сканирования, который ищет функции, уникальные для плохих репозиториев, известные как «полосы». Эти функции включали определенные типы схем перенаправления и элементы «привратника», предназначенные для защиты вредоносных программ от сканеров. Исследование провели исследователи из Технологического института Джорджии, Университета Индианы в Блумингтоне и Калифорнийского университета в Санта-Барбаре.
Это исследование, которое считается первым систематическим исследованием вредоносной активности в облаке, будет представлено 24 октября на конференции ACM по компьютерной и коммуникационной безопасности в Вене, Австрия. Работа частично поддержана Национальным научным фондом.«Плохие игроки мигрировали в облако вместе со всеми, — сказал Рахим Бейя, профессор Школы электротехники и вычислительной техники Джорджии. «Плохие парни используют облако для доставки вредоносных программ и других гнусных вещей, оставаясь при этом незамеченными. Используемые ими ресурсы скомпрометированы различными способами, от традиционных эксплойтов до простого использования плохих конфигураций».
Бейя и аспирант Сяоцзин Ляо обнаружили, что злоумышленники могут скрывать свою деятельность, храня компоненты своего вредоносного ПО в отдельных репозиториях, которые сами по себе не запускают традиционные сканеры. Только тогда, когда они были необходимы для запуска атаки, были собраны различные части этого вредоносного ПО.«Некоторые эксплойты кажутся безобидными до тех пор, пока они не будут собраны определенным образом», — поясняет Бейя, профессор Фонда Motorola и доцент кафедры стратегических инициатив и инноваций в Школе электротехники и компьютерной инженерии. «Когда вы сканируете компоненты по частям, вы видите только часть вредоносного ПО, а та часть, которую вы видите, может не быть вредоносной».
В облаке злоумышленники пользуются тем, насколько сложно сканировать такой объем хранилища. Операторы служб облачного хостинга могут не иметь ресурсов для проведения глубокого сканирования, которое может потребоваться для поиска баров, а их мониторинг репозиториев может быть ограничен соглашениями об уровне обслуживания.По словам Бейя, хотя разделение вредоносного ПО на части помогло его скрыть, эта стратегия также создала метод поиска «плохих корзин», в которых оно размещено.
У многих злоумышленников были избыточные репозитории, связанные определенными видами схем перенаправления, которые позволяли атакам продолжаться, если одна корзина была потеряна. Плохие корзины также обычно имели «привратников», предназначенные для защиты сканеров от доступа к репозиториям, а там, где обслуживались веб-страницы, они имели простые структуры, которые было легко распространять.«Мы заметили, что существует внутренняя структура, связанная с тем, как эти злоумышленники все устроили», — пояснил он. «Например, у всех плохих парней стояли телохранители. Это не нормально для облачных хранилищ, и мы использовали эту структуру, чтобы их обнаружить».
Исследователи начали с изучения небольшого количества известных плохих репозиториев, чтобы понять, как они используются. Основываясь на том, что они узнали, они создали «BarFinder», инструмент сканирования, который автоматически ищет и обнаруживает функции, общие для плохих репозиториев.В целом исследователи просканировали более 140 000 сайтов на 20 облачных хостингах и обнаружили около 700 активных репозиториев вредоносного контента. В общей сложности около 10% облачных репозиториев, изученных командой, каким-то образом были скомпрометированы.
Исследователи уведомили компании, предоставляющие облачный хостинг, о своих выводах перед публикацией исследования.«Это широко распространено в облаке», — сказала Бейя. «Мы обнаружили проблемы в каждой из изученных нами услуг хостинга. Мы считаем, что это серьезная проблема для индустрии облачного хостинга».
В некоторых случаях злоумышленники просто открывали недорогой счет и начинали размещать свое программное обеспечение. В других случаях вредоносный контент был скрыт в облачных доменах известных брендов. Смешение плохого и хорошего контента в доменах брендов защищало вредоносное ПО от занесения домена в черный список.Бейя и Ляо наблюдали широкий спектр атак в репозиториях, размещенных в облаке, от фишинга и распространенных скрытых загрузок до поддельных антивирусных сайтов и сайтов обновлений компьютеров. «Они могут атаковать вас прямо из этих корзин или могут перенаправить вас в другие вредоносные корзины или серию вредоносных корзин», — сказал он. «Может быть трудно увидеть, куда вас перенаправляет код».
Для защиты облачных репозиториев от этих атак Бейя рекомендует обычные средства защиты, включая исправление систем и правильные настройки конфигурации.Забегая вперед, исследователи надеются сделать BarFinder доступным для более широкой аудитории.
Это может включать в себя лицензирование технологии компании по обеспечению безопасности или предоставление ее в качестве инструмента с открытым исходным кодом.«Злоумышленники очень умны, и по мере того, как мы защищаем объекты и делаем облачную инфраструктуру более сложной для их атак, они перейдут к чему-то другому», — сказал он. «Между тем, каждая система, которую мы можем защитить, делает Интернет немного безопаснее».Работа частично поддержана Национальным научным фондом (гранты CNS-1223477, 1223495, 1527141 и 1618493).
Любые мнения, выводы, выводы или рекомендации, выраженные в этом материале, принадлежат авторам и не обязательно отражают точку зрения Национального научного фонда.ЦИТАТА: Сяоцзин Ляо и др., «Скрытый злонамеренный объект в облаке: понимание и обнаружение облачного репозитория как вредоносной службы», Конференция ACM по компьютерной и коммуникационной безопасности (CCS).