Отключение или изменение облачного брандмауэра - это техника уклонения от защиты, с помощью которой злоумышленники манипулируют конфигурацией облачного брандмауэра, чтобы обойти средства контроля безопасности и совершить вредоносные действия. Облачные брандмауэры, часто реализуемые в виде групп безопасности, списков контроля сетевого доступа (NACL) или виртуальных брандмауэров, предназначены для регулирования сетевого трафика, предотвращения несанкционированного доступа и обеспечения сегментации в облачных средах. Отключив или изменив эти средства защиты, атакующие могут создать несанкционированные пути для бокового перемещения, утечки данных и передачи командно-контрольных данных (C2).
Что такое облачный брандмауэр?
Облачные брандмауэры предназначены для защиты цифровых активов и данных, размещенных в облачных средах. Он контролирует и отслеживает входящий и исходящий сетевой трафик, выступая в качестве барьера между доверенной внутренней сетью и внешними, потенциально недоверенными сетями, такими как Интернет. Облачные брандмауэры работают на основе заранее определенных правил и политик, разрешая или блокируя определенные типы трафика на основе таких критериев, как IP-адреса, протоколы и номера портов.
Использование злоумышленниками отключения или модификации облачного брандмауэра
В облачных средах организации часто применяют ограничительные группы безопасности и правила брандмауэра для контроля и защиты сетевого трафика. Эти правила разработаны таким образом, чтобы разрешать только авторизованные соединения с доверенных IP-адресов через указанные порты и протоколы. Однако злоумышленники изменяют эти конфигурации, чтобы открыть шлюз для несанкционированного доступа и вредоносных действий в облачной среде жертвы, используя технику отключения или изменения облачного брандмауэра. Эта техника может привести к серьезным последствиям, начиная от утечки данных и заканчивая компрометацией критически важной инфраструктуры и сервисов, размещенных в «облаке».
Злоумышленники часто используют эту технику, манипулируя существующими правилами брандмауэра. Например, они используют скрипты или утилиты, способные динамически создавать новые правила входа в рамках установленных групп безопасности. Эти правила могут быть составлены таким образом, чтобы разрешить любое TCP/IP-соединение, по сути, снимая ранее наложенные ограничения и создавая уязвимость, позволяющую получить беспрепятственный доступ. В случае с утечкой данных Capital One злоумышленники использовали неправильно настроенный брандмауэр веб-приложений (WAF) для получения несанкционированного доступа к конфиденциальным данным клиентов, хранящимся в «облаке». Изменив конфигурацию брандмауэра, злоумышленник успешно обошел меры безопасности, что подчеркивает исключительную важность надежного управления брандмауэром для безопасности «облака».
Более того, эта техника облегчает латеральное перемещение в облачной среде. Отключив или изменив правила брандмауэра, злоумышленники могут перемещаться между системами и серверами, повышая свои привилегии и расширяя позиции в скомпрометированной инфраструктуре.
Злоумышленники могут использовать измененные конфигурации брандмауэров для создания скрытых каналов связи между взломанными системами и внешними серверами, находящимися под их контролем. Это позволяет им сохранять постоянное присутствие, выполнять команды и получать инструкции без обнаружения. В ходе атаки на криптомайнер злоумышленникам удалось скомпрометировать учетную запись сервиса Google Cloud App Engine и изменить конфигурацию облачного брандмауэра так, чтобы разрешить любой трафик перед развертыванием сотен виртуальных машин для добычи криптовалют.
| 1 2 3 4 5 6 7 8 9 10 11 | "request": { "@type": "type.googleapis.com/compute.firewalls.insert", "alloweds": [{ "IPProtocol": "tcp" }, { "IPProtocol": "udp" }], "direction": "EGRESS", "name": "default-allow-out", "network": "https://compute.googleapis.com/compute/vl/projects/XXXXXXX/global/networks/default", "priority": "0"} |