Отчет Aqua Security: 50% уязвимых целей в нативных облачных средах атакуются в течение часа

«Ландшафт угроз постоянно меняется, так как злоумышленники расширяют свой арсенал с помощью передовых методов, позволяющих избежать обнаружения, — говорит Ассаф Мораг, ведущий дата-аналитик команды по исследованию угроз Nautilus. — Мы также видим, что киберпреступники имеют теперь более серьезные мотивы и стремятся нанести более крупный ущерб. Хотя майнинг криптовалюты по-прежнему является наиболее популярной целью, мы наблюдаем больше атак, связанных с заражением вредоносным ПО, установкой бэкдоров и кражей учетных данных».

Среди новых методов атак команда Nautilus обнаружила масштабную кампанию, нацеленную на автоматические процессы сборки SaaS сред разработки.

«Это не было распространенным вектором атак ранее, но, вероятно, ситуация изменится в 2021 году, потому что инструменты обнаружения и предотвращения для защиты сборки кода во время конвейеров CI/CD, к сожалению, пока не нашли широкого применения в большинстве организаций», — добавляет Мораг.

Результаты отчета стали вкладом в разработку новой матрицы контейнеров MITRE ATT&CK. База знаний MITRE ATT&CK используется во всем мире специалистами в области информационной безопасности для описания тактик, приемов и методов киберпреступников.

В отчете Aqua представлен подробный анализ атак, обнаруженных командой Nautilus. Основные выводы включают:

• Более изощренные атаки: злоумышленники расширили использование техник уклонения и обфускации, чтобы избежать обнаружения. К ним относятся загрузка бинарных файлов, запуск вредоносных программ прямо из памяти и использование руткитов.
• Ботнеты быстро находят и заражают новые хосты по мере того, как они становятся уязвимыми: 50% новых неправильно сконфигурированных API-интерфейсов Docker атакуются ботнетами в течение 56 минут после установки.
• Майнинг криптовалюты остается самой распространенной целью: более 90% вредоносных образов контейнеров осуществляют захват ресурсов.
• Рост использования бэкдоров: 40% атак связаны с созданием бэкдоров на хосте; злоумышленники внедряют специально разработанное вредоносное ПО, создают новых привелигированных пользователей и ключи SSH для удаленного доступа.
• Объем атак продолжает расти: за первое полугодие 2020 года количество ежедневных атак выросло в среднем на 26%.

Для анализа атак команда Nautilus использовала Aqua Dynamic Threat Analysis (DTA). Aqua DTA – это единственное в отрасли решение, которое динамически анализурует поведение образов контейнеров в песочнице, чтобы определить, содержат ли они скрытое вредоносное ПО. Это позволяет организациям выявлять и минимизировать атаки на нативные облачные среды, которые статические сканеры обнаружить не могут, причем задолго до развертывания в производственной среде.

Подробный анализ и выводы доступны в полной версии отчета “Cloud Native Threat Report: Attacks in the Wild on Container Infrastructure”.