攻撃者はクラウドを どう使うのか サイバー攻撃の事例_公開版 [Nasotasy]
2K Views
April 16, 26
スライド概要
20260416 CloudSecJP #005
Nasotasy
ダウンロード
関連スライド
各ページのテキスト
攻撃者はクラウドを どう使うのか サイバー攻撃の事例 by Nasotasy
Who is Nasotasy? ナソタシ は どんなお仕事してる? インシデントレスポンス フォレンジック ときどき リサーチ 𝕏 @nasotasy
シナリオ1 Tencent Cloud メールからマルウェア配布に悪用 メールが送られる 受信してリンクを開く ファイルをダウンロードする マルウェアを実行
シナリオ1 Tencent Cloud COS (Cloud Object Storage) myqcloud.comのドメインで提供される分散型クラウドストレージ <BucketName-APPID>.cos.<Region>.myqcloud.com 任意に設定できる アカウント固有 リージョン固有 https://www.tencentcloud.com/jp/products/cos
シナリオ1 Tencent Cloud COS (Cloud Object Storage) 攻撃者のAPPIDが固有値なら、悪用が確認されたAPPID + myqcloudでネットワークをブロックすればいいのでは ^[A-Za-z0-9.-]+-1393918816\.cos\.[A-Za-z0-9-]+\.myqcloud\.com$ 正規表現で任意のAPPID + myqcloudドメインを設定する例 .*-1393918816\.cos\..*\.myqcloud\.com$ ちょっと広く任意のAPPID + myqcloudドメインを設定する例 過激派 そもそもTencent cloud周りをあまり業務で使わないなら myqcloudのドメインごとブロックするのも一つの方法
シナリオ2 AWS 怪しいファイルの配布 ブラウジング中の広告遷移 フリーソフトのダウンロード ファイルをダウンロードする マルウェア(?)を実行
シナリオ2 AWS 怪しいファイルの配布 Softnicなどから遷移するアドウェア?
シナリオ2 AWS Cloudfront cloudfront.netのドメインで提供されるコンテンツ配信高速化 サービス(CDN) <DistributionDomain>.cloudfront.net/<path> 既定ドメイン(ランダム) 攻撃者の用意した任意の オブジェクトパス
シナリオ2 AWS Cloudfront + 怪しいexeをどう防ぐか 入口で防ぐ Microsoft Defender AntivirusのPUA Protectionを利用 Chrome Enterpriseで DownloadRestrictionsポリシーを活用 Group Policy(GPO)でも設定可能 実行で防ぐ App Control for Business(WDAC)またはAppLockerの制御 運用で防ぐ 制御アプリ(配布/Intune)からの導入経路のみ許可する 端末で実行されたexeのログをSysmon(ID:1 , 11, 3)で追う 後追いでも ええで思考
シナリオ3 AWS + Cloudflare フィッシングサイト メールが送られる 受信してリンクを開く 認証情報を入力
シナリオ3 AWS + Cloudflare Workersの悪用 Redirect S3静的 Webサイト スクリプト 動作 Workers.dev Webサイト ブラウザソー スチェック or 直コピペ アクセス
シナリオ3 AWS + Cloudflare Workers workers.devのドメインで動作する、 サーバーレスのインターネットに公開できるホスティング基盤 <WorkerName>.<SubDomain>.workers.dev 任意に設定できる 任意に設定できる https://developers.cloudflare.com/workers/configuration/routing/workers-dev/
シナリオ3 AWS + Cloudflare Workersの悪用サイトどう防ぐか 業務で使うworkersのURLだけをプロキシ等でAllowしておく 使わないworkersのURLは基本すべてブロックしておく 耐フィッシングはユーザだけに頼るのも難しい IdP側での対策 (MFA + 条件付きアクセス + etc..) を忘れずに
シナリオ4 Azure サポート詐欺(Callback Phising) ブラウジング中の広告遷移 フリーソフトのダウンロード 受信して中身を見る 書いてある電話番号に電話 出典: BleepingComputer https://www.bleepingcomputer.com/news/security/microsoft-azure-monitor-alertsabused-in-callback-phishing-campaigns/
シナリオ4 Azure Azure Monitor Alert Azureにおける設定条件を満たした時 に通知あるいは実行するサービス ここにフィッシング文を 入れてくる 通知先のメールアドレスにフィッシン グ対象を含めて悪用されている 出典: Microsoft Learn https://learn.microsoft.com/ja-jp/azure/azure-monitor/alerts/alerts-create-metricalert-rule
シナリオ4 Azure Azure Monitor Alertの悪用 Microsoftドメインから届く正規メールであるためspf=pass, dkim=pass, dmarc=passとなってしまう たどり着く先は結局サポート詐欺と同じらしい AnyDeskが誘導される事例など (Reddit)
まとめ 今回はTencent Cloud, AWS, Cloudflare, Azureの悪用事例 を紹介しました 大手クラウドに限らずユーザを狙う、騙す攻撃に悪用されている 気を付けないとね!気を付けよう!
Appendix
Appendix : シナリオ1 Tencent Cloud 調査のながれ 1.urlscan.ioでドメインから調べる https://urlscan.io/search/#page.domain%3A%22myqcloud.com%22 クエリできるよ → page.domain: “myqcloud.com”
Appendix : シナリオ1 Tencent Cloud 調査のながれ 2.urlscan.ioでさらに深堀りする https://urlscan.io/search/#page.url%3A%22168-1393918816.cos.aptokyo.myqcloud.com%22 クエリできるよ → page.url:"168-1393918816.cos.ap-tokyo.myqcloud.com"
Appendix : シナリオ1 Tencent Cloud 調査のながれ 3.ハッシュ値をググったりする URLhaus Virustotal
Appendix : シナリオ2 AWS 調査のながれ 1.urlscan.ioでドメインから調べる https://urlscan.io/search/#page.domain%3A%22cloudfront.net%22%20AND%20date%3A%3 Enow-30d%20%20AND%20files.mimeType%3A%22application%2Fx-dosexec%22 クエリできるよ → page.domain:"cloudfront.net" AND date:>now-30d AND files.mimeType:"application/x-dosexec"
Appendix : シナリオ2 AWS 調査のながれ 2.urlscan.ioでさらに深堀りする https://urlscan.io/search/#page.url%3A%22dyox3t14ouzkr.cloudfront.net%22%20AND%20fi les.mimeType%3A%22application%2Fx-dosexec%22 ダウンロードされるファイルのうち、 application/x-dosexec(実行ファイル)のみを狙い打つ 一つのCloudfront(バケット)からいろいろなインストーラ? クエリできるよ → page.url:"dyox3t14ouzkr.cloudfront.net" AND files.mimeType:"application/x-dosexec"
Appendix : シナリオ2 AWS 調査のながれ 3.URLをググったり調べる https://urlquery.net/search?q=dyox3t14ouzkr.cloudfront.net urlquery Virustotal
Appendix: シナリオ3 AWS + Cloudflare 調査のながれ 1. BurpとかでアクセスしてResponse(ソース)を見る
Appendix: シナリオ3 AWS + Cloudflare 調査のながれ 2. Base64 DecodeしてAES-GCMをDecryptする 難読化解除されたソース(Script)が見える
Appendix: シナリオ3 AWS + Cloudflare 調査のながれ 3. JavaScriptのコードを見ると中身がわかる
Thank you