‘Потаенное преступное намерение’ в хостинг-услугах облака, исследование находит

Чтобы определить плохое содержание, исследователи создали инструмент просмотра, который ищет особенности, уникальные для плохих хранилищ, известных как «Бары». Особенности включали определенные типы схем переназначения и элементов «привратника», разработанных, чтобы защитить вредоносное программное обеспечение от сканеров.

Исследователи из Технологического института штата Джорджия, Индианского университета в Блумингтоне и Калифорнийского университета Санта-Барбара провели исследование.Полагавший быть первым систематическим исследованием облачной злонамеренной деятельности, исследование будет представлено 24 октября на Конференции ACM по Компьютеру и Коммуникационной безопасности в Вене, Австрия.

Работа была поддержана частично Национальным научным фондом.«Подлецы мигрировали к облаку наряду со всеми другими», сказал Рахим Беях, преподаватель в Школе Технологического института Джорджии Электротехники и Вычислительной техники. «Плохие парни используют облако, чтобы поставить вредоносное программное обеспечение и другие низкие вещи, оставаясь необнаруженными. Ресурсы, которые они используют, поставились под угрозу во множестве путей от традиционных деяний до простого использования в своих интересах плохих конфигураций».

Беях и аспирант Сяоцзин Ляо нашли, что подлецы могли скрыть свои действия, держа компоненты их вредоносного программного обеспечения в отдельных хранилищах, которые собой не привели в действие традиционные сканеры. Только, когда они были необходимы, чтобы начать атаку, были различные части этого собранного вредоносного программного обеспечения.«Некоторые деяния, кажется, мягки, пока они не собраны определенным способом», объяснил Беях, который является профессором Motorola Foundation и объединенным стулом для стратегических инициатив и инноваций в Школе Электротехники и Вычислительной техники. «Когда Вы просматриваете компоненты в постепенном способе, Вы только видите часть вредоносного программного обеспечения, и часть, которую Вы видите, может не быть злонамеренной».

В облаке злонамеренные актеры используют в своих интересах, насколько трудный это может быть должно просмотреть такое хранение. У операторов хостинг-услуг облака может не быть ресурсов, чтобы сделать глубокие просмотры, которые могут быть необходимыми, чтобы найти Бары – и их контроль хранилищ может быть ограничен соглашениями сервисного обслуживания.

В то время как разделение злонамеренного программного обеспечения помогло скрыть его, стратегия также создала технику для нахождения «плохих ведер» оказание гостеприимства его, сказал Беях. Многим подлецам соединили избыточные хранилища определенные виды схем переназначения, которые позволили нападениям продолжаться, если одно ведро было потеряно.

Плохим ведрам также обычно проектировали «привратников», чтобы не допустить сканеры в хранилища, и где интернет-страницы подавались, у них были простые структуры, которые было легко размножить.«Мы заметили, что есть врожденная структура, связанная с тем, как эти нападавшие настроили вещи», объяснил он. «Например, плохие парни у всех были телохранители у двери. Это не нормально для хранения облака, и мы использовали ту структуру, чтобы обнаружить их».Исследователи начали, изучив небольшое количество известных плохих хранилищ, чтобы понять, как они использовались.

На основе того, что они изучили, они создали «BarFinder», инструмент сканера, который автоматически ищет и обнаруживает особенности, характерные для плохих хранилищ.В целом, исследователи просмотрели больше чем 140 000 мест на 20 принимающих территориях облака и нашли приблизительно 700 активных хранилищ для злонамеренного содержания.

Всего, приблизительно 10 процентов хранилищ облака, которые изучила команда, поставились под угрозу в некотором роде. Исследователи уведомили хостинговые компании облака относительно своих результатов перед публикацией исследования.«Это распространяется в облаке», сказал Беях. «Мы нашли проблемы в каждых последних из хостинг-услуг, которые мы изучили. Мы полагаем, что это – значительная проблема для принимающей промышленности облака».

В некоторых случаях подлецы просто открыли недорогой счет и начали вести их программное обеспечение. В других случаях злонамеренное содержание было скрыто в облачных областях известных брендов. Смешивание плохого содержания с хорошим содержанием в фирменных областях защитило вредоносное программное обеспечение от помещения в черный список области.

Беях и Ляо видели, что широкий спектр нападений в облаке принял хранилища, в пределах от фишинга, и общие загрузки на автомобиле, чтобы фальсифицировать антивирус и компьютер обновляют сайты. «Они могут напасть на Вас непосредственно от этих ведер, или они могут перенаправить Вас к другим злонамеренным ведрам или серии злонамеренных ведер», сказал он. «Может быть трудно видеть, где кодекс перенаправляет Вас».Чтобы защитить облачные хранилища от этих нападений, Beyah рекомендует обычную обороноспособность, включая внесение исправлений систем и надлежащие параметры настройки конфигурации.

Смотря вперед, исследователи надеются сделать BarFinder доступным для более широкой аудитории. Это могло включать лицензирование технологии в компанию безопасности или предоставления доступа к нему как общедоступный инструмент.«Нападавшие очень умны, и поскольку мы обеспечиваем вещи и делаем инфраструктуру облака более сложной для них, чтобы напасть, они перейдут на что-то еще», сказал он. «Тем временем каждая система, которую мы можем обеспечить, делает Интернет просто немного более безопасным».Эта работа была поддержана частично Национальным научным фондом (предоставляет ЦНС 1223477, 1223495, 1527141 и 1618493).

Любые мнения, результаты, и заключения или рекомендации, выраженные в этом материале, являются теми из автора (авторов) и не обязательно отражают взгляды Национального научного фонда.ЦИТАТА: Сяоцзин Ляо, и др., «Потаенное Преступное намерение в Облаке: Понимание и Обнаружение Хранилища Облака как Злонамеренное Обслуживание», Конференция ACM по Компьютеру и Коммуникационной безопасности (CCS).


Блог Фенома