18.01.2019
Усовершенствованные вредоносные программы от китайского агента по борьбе с угрозами Rocke Group обходят стороной инструменты безопасности для установки майнеров криптовалюты в облачных системах.
Образцы вредоносного ПО, связанные с китайским агентом по угрозам Rocke Group, теперь способны удалять продукты облачной безопасности, согласно исследованию 42 Palo Alto Networks.
Недавно обнаруженные образцы вредоносных программ не используют особую уязвимость продуктов облачной безопасности; скорее, вредоносная программа предназначена для получения доступа администратора к данному облаку и удаления программного обеспечения, как это мог бы сделать любой администратор.
Modus operandi компании Rocke Group использует уязвимости в веб-сервисах, включая Apache Struts 2, Oracle WebLogic и Adobe ColdFusion, предоставляя злоумышленнику бэкдор для получения доступа к оболочке, с помощью которого в целевой системе устанавливается программное обеспечение для извлечения криптовалюты Monero. Образцы вредоносных программ, исходящие из группы, исторически включали команды для остановки и удаления другого программного обеспечения для майнинга криптовалют.
Примеры содержат дополнительные инструкции по блокировке популярных продуктов безопасности, используемых на облачных платформах Alibaba и Tencent, включая службу обнаружения угроз Alibaba, Alibaba CloudMonitor, помощник по облачным вычислениям Alibaba, Tencent Host Security и Tencent Cloud Monitor. По сути, это продукты для обеспечения безопасности на основе агентов, которые требуют установки на размещенные в облаке экземпляры, что делает их доступными для этого вредоносного ПО.
Предполагается, что Rocke Group базируется в Китае, такое поведение было продемонстрировано только с продуктами безопасности, используемыми для китайских облачных сервисов. Исследователи из Unit 42 выражают обеспокоенность тем, что авторы вредоносных программ будут широко использовать поведение удаления облачных решений для обеспечения безопасности, чтобы избежать обнаружения. Эти опасения в какой-то степени оправданы, поскольку такое поведение уже давно существует, когда вредоносные программы удаляют решения для обеспечения безопасности настольных компьютеров. Возникли некоторые соображения по поддержанию целостности безопасности в свете этой стратегии атаки.
Самопроизвольное отсутствие программы, которая, как ожидается, существует в данном случае, должно рассматриваться как признак того, что что-то пошло не так. Продукты корпоративной безопасности обычно реагируют только при обнаружении аномалии, например использование какого-либо периодического маяка для индикации обновлений определений и т. Д., Как минимум, проактивно обеспечивает заинтересованным сторонам ИТ-инфраструктуры уверенность в том, что программное обеспечение безопасности работает нормально. Это не обязательно должно быть функцией программного обеспечения агента безопасности - это можно выполнить с помощью cron, чтобы проверить, существует ли процесс.
Вредоносное ПО, способное получить root-доступ, может легко подделать такие маяки, как удаление программного обеспечения безопасности, что ограничивает эффективность этой идеи. Во всем мире количество поставщиков и продуктов для обеспечения безопасности делает нецелесообразным, чтобы полезные нагрузки вредоносных программ полностью удалялись и клонировали маяки для каждой возможной конфигурации. Атрибуты китайского облачного рынка могут облегчить эту атаку локально, чем на рынках с более разнообразным выбором.
В конечном счете, полагаться на экземпляр облака для самостоятельного создания отчетов о работоспособности может быть несовершенным, поскольку любое вредоносное ПО, способное получить root-доступ, теоретически сможет удалить продукты безопасности или подделать маяки безопасности, как описано выше. С точки зрения защитных колец , мониторинг активности экземпляра облака из Кольца-1 будет защищен от таких атак. На этом уровне нарушение мониторинга безопасности потребовало бы экспоненциально более сложных уязвимостей для виртуальных машин.
Используемые уязвимости
Недавно обнаруженные образцы вредоносных программ не используют особую уязвимость продуктов облачной безопасности; скорее, вредоносная программа предназначена для получения доступа администратора к данному облаку и удаления программного обеспечения, как это мог бы сделать любой администратор.
Modus operandi компании Rocke Group использует уязвимости в веб-сервисах, включая Apache Struts 2, Oracle WebLogic и Adobe ColdFusion, предоставляя злоумышленнику бэкдор для получения доступа к оболочке, с помощью которого в целевой системе устанавливается программное обеспечение для извлечения криптовалюты Monero. Образцы вредоносных программ, исходящие из группы, исторически включали команды для остановки и удаления другого программного обеспечения для майнинга криптовалют.
Примеры содержат дополнительные инструкции по блокировке популярных продуктов безопасности, используемых на облачных платформах Alibaba и Tencent, включая службу обнаружения угроз Alibaba, Alibaba CloudMonitor, помощник по облачным вычислениям Alibaba, Tencent Host Security и Tencent Cloud Monitor. По сути, это продукты для обеспечения безопасности на основе агентов, которые требуют установки на размещенные в облаке экземпляры, что делает их доступными для этого вредоносного ПО.
Группировка Rock Group
Предполагается, что Rocke Group базируется в Китае, такое поведение было продемонстрировано только с продуктами безопасности, используемыми для китайских облачных сервисов. Исследователи из Unit 42 выражают обеспокоенность тем, что авторы вредоносных программ будут широко использовать поведение удаления облачных решений для обеспечения безопасности, чтобы избежать обнаружения. Эти опасения в какой-то степени оправданы, поскольку такое поведение уже давно существует, когда вредоносные программы удаляют решения для обеспечения безопасности настольных компьютеров. Возникли некоторые соображения по поддержанию целостности безопасности в свете этой стратегии атаки.
Самопроизвольное отсутствие программы, которая, как ожидается, существует в данном случае, должно рассматриваться как признак того, что что-то пошло не так. Продукты корпоративной безопасности обычно реагируют только при обнаружении аномалии, например использование какого-либо периодического маяка для индикации обновлений определений и т. Д., Как минимум, проактивно обеспечивает заинтересованным сторонам ИТ-инфраструктуры уверенность в том, что программное обеспечение безопасности работает нормально. Это не обязательно должно быть функцией программного обеспечения агента безопасности - это можно выполнить с помощью cron, чтобы проверить, существует ли процесс.
Вредоносное ПО, способное получить root-доступ, может легко подделать такие маяки, как удаление программного обеспечения безопасности, что ограничивает эффективность этой идеи. Во всем мире количество поставщиков и продуктов для обеспечения безопасности делает нецелесообразным, чтобы полезные нагрузки вредоносных программ полностью удалялись и клонировали маяки для каждой возможной конфигурации. Атрибуты китайского облачного рынка могут облегчить эту атаку локально, чем на рынках с более разнообразным выбором.
В конечном счете, полагаться на экземпляр облака для самостоятельного создания отчетов о работоспособности может быть несовершенным, поскольку любое вредоносное ПО, способное получить root-доступ, теоретически сможет удалить продукты безопасности или подделать маяки безопасности, как описано выше. С точки зрения защитных колец , мониторинг активности экземпляра облака из Кольца-1 будет защищен от таких атак. На этом уровне нарушение мониторинга безопасности потребовало бы экспоненциально более сложных уязвимостей для виртуальных машин.
