El malware ahora puede evadir las herramientas de seguridad en la nube, ya que los delincuentes cibernéticos se dirigen a los usuarios de la nube pública

            
                                                                             
            
            

Las muestras de malware asociadas con el actor de amenazas chino Rocke Group ahora pueden desinstalar productos de seguridad en la nube, de acuerdo con un análisis realizado por investigadores de la Unidad 42 de Palo Alto Networks, en un informe publicado Jueves.

Las muestras de malware recién descubiertas no están explotando una vulnerabilidad específica de los productos de seguridad en la nube; más bien, el malware está diseñado para obtener acceso de administrador en una instancia de nube determinada y desinstalar el software como cualquier administrador podría hacerlo.

VER: Investigación: a medida que las operaciones comerciales en el extranjero crecen, también aumentan las preocupaciones sobre la ciberguerra y la ciberseguridad (Tech Pro Research)

explotando vulnerabilidades en servicios web, como Apache Struts 2, Oracle WebLogic y Adobe ColdFusion, proporcionando una puerta trasera para que el atacante obtenga acceso a la shell, a través del cual se instala el software de minería de criptomoneda Monero en el sistema de destino. Las muestras de malware que se originaron en el grupo históricamente han incluido comandos para detener y eliminar otro software de minería de criptomonedas.

    
        

Las muestras recién descubiertas incluyen instrucciones adicionales para bloquear los productos de seguridad populares utilizados en las plataformas en la nube de Alibaba y Tencent, incluido el Servicio de detección de amenazas de Alibaba, el Monitor de nube de Alibaba, el Asistente de nube de Alibaba, la Seguridad de host de Tencent y el Monitor de nube de Tencent. Fundamentalmente, estos son productos de seguridad basados ​​en agentes que requieren la instalación en instancias alojadas en la nube, lo que los pone al alcance de este malware.

Como se supone que Rocke Group tiene su sede en China, este comportamiento solo se ha demostrado con los productos de seguridad utilizados para los servicios de nube chinos. Los investigadores de la Unidad 42 expresan su preocupación de que los autores de malware adopten ampliamente el comportamiento de desinstalar soluciones de seguridad en la nube para evadir la detección. Estas preocupaciones están garantizadas hasta cierto punto, ya que este comportamiento ha existido durante mucho tiempo con el malware que desinstala las soluciones de seguridad de escritorio. Existen algunas consideraciones para mantener la integridad de seguridad a la luz de esta estrategia de ataque.

La ausencia espontánea de un programa que se espera que exista en una instancia determinada debe considerarse una señal de que algo ha salido terriblemente mal. Los productos de seguridad para empresas generalmente solo reaccionan cuando se detecta una anomalía, aunque el uso de algún tipo de baliza periódica para indicar actualizaciones de definición, etc., como mínimo, brindaría seguridad a los interesados ​​en TI de que el software de seguridad funciona con normalidad. Esto no necesariamente tiene que ser una característica del software de agente de seguridad; se podría realizar usando cron para verificar si existe un proceso.

El software malicioso capaz de obtener acceso a la raíz sería tan fácil como forjar balizas como la desinstalación del software de seguridad, lo que limita la eficacia de esta idea. A nivel mundial, la cantidad de proveedores y productos de seguridad disponibles hace que no sea práctico para las cargas útiles de malware, desinstalar y clonar balizas perfectamente para cada configuración posible. Los atributos del mercado de la nube chino pueden hacer que este sea un ataque más fácil a nivel local que en los mercados con opciones más diversas.

En última instancia, depender de una instancia de nube para autoinformarse puede ser imperfecto, ya que cualquier malware capaz de obtener acceso de raíz podría teóricamente desinstalar productos de seguridad o forjar balizas de seguridad como se describió anteriormente. En términos de anillos de protección el monitoreo de la actividad de la instancia de nube desde el Anillo -1 sería seguro contra tales ataques. En este nivel, romper la supervisión de seguridad requeriría el uso de vulnerabilidades de escape de máquina virtual exponencialmente más desafiantes .

Los grandes descubrimientos para los líderes tecnológicos:

  • Las muestras de malware descubiertas recientemente utilizan acceso root para desinstalar el software de seguridad en la nube, lo que refleja las capacidades que se ven desde hace años en el malware de escritorio.
  • Confiar en una instancia de nube para autoinformarse puede ser imperfecto, ya que cualquier malware capaz de obtener acceso de root puede desinstalar productos de seguridad o forjar balizas de seguridad.

Véase también

 istock-584571668.jpg

                                            Bannosuke, Getty Images / iStockphoto
                                        


Source link

Be part of our affiliated companies and receive a 20% discount.
www.onevirtualoffice.com
www.be1radio.com
www.rmcommunik.com
www.beonegroup.ca

Need Help?
Let our experienced staff help with virtual helpdesk. click for details.

Services:
– Laptop and Desktop Repair
– Virus and Malware Removal
– Computer Tune-up
– Remote Assistance
– Data Backup
– Data Recovery
– File Transfer and Sharing
– Hardware Diagnostics
– Antivirus Installation
– Software Installation
– Hardware Upgrades
– New System Setup
– Printer Troubleshooting
-Webmaster,hosting,Logo , Graphic design
-Social media Management
– Networking
– Install Windows Operating System (10, 8, 7, Vista and XP)

Business & Residential Toll Free: 1-800-432-1475 | Direct: (438)488-3296

About rasco

Be Happy the future is friendly.

Leave a Reply

Allrights Reserved 2007-2018 - Beone Magazine - powered by rasco