تبدیل سرویس ایکس ری آمازون به سرور فرمان‌ و‌ کنترل مخفی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این امر نمونه‌ای از این است که چگونه زیرساخت‌های مشروع ابری می‌توانند به‌منظور مقاصد مخرب به‌کار گرفته شوند.

سرویس ردیابی توزیع‌شده آمازون (AWS X-Ray) که برای کمک به توسعه‌دهندگان در تحلیل کارایی اپلیکیشن‌ها از طریق ردیابی توزیع‌شده طراحی شده، توسط پژوهشگران «رد تیم» به یک کانال ارتباطی استگانوگرافیک با نام ایکس ری سی2 (XRayC2) تبدیل شده است.

این روش از سیستم «annotation» در ایکس ری که اجازه ذخیره‌سازی داده‌های دلخواه به‌صورت کلید-مقدار را می‌دهد استفاده می‌کند تا فرمان‌ها و داده‌های خروجی را از طریق فراخوانی‌های مشروع API به نقاط انتهایی xray.[region].amazonaws.com منتقل کند.

طبق توضیحات دھیراج، متدولوژی حمله از قابلیت «trace segments» در ایکس ری بهره می‌برد، جایی که بارهای مخرب درون داده‌های ظاهراً بی‌خطر مانیتورینگ جاسازی می‌شوند.

پژوهشگران/مهاجمان از نقاط انتهایی API شامل PutTraceSegments، GetTraceSummaries و BatchGetTraces استفاده می‌کنند تا کانال‌های ارتباطی دوطرفه‌ای برقرار کنند که با ترافیک مشروع ابری به‌خوبی ادغام می‌شوند.

بدافزار حضور خود را با نشانه‌های «beacon» حاوی اطلاعات سیستمی کدگذاری‌شده در annotationها اعلام می‌کند؛ از جمله شناسه‌های نوع سرویس مانند بررسی سلامتی (health_check) و شناسه‌های یگانه نمونه‌ها.

فرستادن فرمان‌ها با payloadهای رمزگذاری‌شده به صورت base64 در annotationهای پیکربندی انجام می‌شود، در حالی که بیرون‌کشیدن نتایج (exfiltration) از طریق فیلدهای execution_result در ساختارهای داده‌ای trace صورت می‌پذیرد.

این تکنیک توانایی‌های فرار از کشف پیشرفته‌ای را نشان می‌دهد زیرا از پیاده‌سازی سفارشی احراز هویت سیگنیچر ورژن 4 سرویس شبکه آمازون (AWS Signature Version 4 (SigV4)) استفاده می‌کند و ترافیک مشروع API آمازون تولید می‌کند که به‌صورت طبیعی در لاگ‌های شبکه استاندارد جای می‌گیرد.

ارتباط مخرب با فواصل beacon تصادفی بین ۳۰ تا ۶۰ ثانیه انجام می‌شود و از امضای HMAC-SHA256 با کلیدهای دسترسی و فرمت canonical request آمازون پیروی می‌کند.

ابزار XRayC2 به مجوزهای سرویس شبکه آمازون کمی نیاز دارد و از سیاستAWSXRayDaemonWriteAccess همراه با مجوزهای سفارشی برای دست‌کاری traces استفاده می‌کند.

این رویکرد نسبت به زیرساخت‌های سنتی فرمان و کنترل سطح حمله را به‌طور قابل‌توجهی کاهش می‌دهد در حالی که با استفاده از سرویس‌های بومی ابری دسترسی ماندگار را حفظ می‌کند.

تشخیص این تکنیک برای تیم‌های امنیتی دشوار است، زیرا ترافیک مخرب شبیه فعالیت‌های معمول پایش کارایی اپلیکیشن به‌نظر می‌رسد.

سازمان‌ها باید نظارت بر الگوهای استفاده از ایکس ری API را تقویت کنند، معیارهای پایه‌ای برای حجم داده‌های annotation در traces ایجاد نمایند و تعاملات غیرمعمول سرویس‌ها در محیط آمازون وب سرویس خود را دقیقاً بررسی کنند تا سوءاستفاده از سرویس‌های مشروع ابری برای ارتباطات مخفی شناسایی شود.