![[レポート]クラウドコンピューティングのダークサイド: 数百万ドルのクラウドコンピューティングを悪用する脅威アクターの手口 – CODE BLUE 2023 #codeblue_jp](https://devio2023-media.developers.io/wp-content/uploads/2023/11/codeblue_2023_1200_630.png)
[レポート]クラウドコンピューティングのダークサイド: 数百万ドルのクラウドコンピューティングを悪用する脅威アクターの手口 – CODE BLUE 2023 #codeblue_jp
CODE BLUE 2023で行われた「クラウドコンピューティングのダークサイド: 数百万ドルのクラウドコンピューティングを悪用する脅威アクターの手口」というセッションのレポートです。
CODE BLUE 2023で行われた以下のセッションのレポートです。
クラウドコンピューティングのダークサイド: 数百万ドルのクラウドコンピューティングを悪用する脅威アクターの手口
クラウドの初期から、コンピューター・リソースは攻撃者にとって有益な標的であり、金銭的利益が主な動機でした。クラウド・コンピューティングの進化により、攻撃者が悪用できる新たな攻撃対象やサービスが生み出されました。その結果、攻撃者は検知を上手く回避しながら、被害者のテナントで数百万ドル規模のクラウド・コンピューティングを悪用する高度な攻撃キャンペーンを実施しています。
本講演では、数百万ドルの被害をもたらしたクラウド・クリプトジャッキングの実際のインシデントをいくつか紹介します。
最新のトレンドと脅威アクターが悪用するテクニックについて説明します。これには、クラウドネイティブの権限昇格やハイジャック技術など、正当なテナントを侵害して検出を回避し、その操作を隠蔽すると同時に、そのアクションを自動化および拡張して IaaS と PaaS の両サービスを悪用して最大の効果を得ることが含まれます。
Presented by : ダニエル・ダヴラエフ - Daniel Davrayev ヨッシ・ワイツマン - Yossi Weizman
レポート
- 脅威アクターが数百万ドルのクラウドコンピュータをどのように悪用しているか、Azureにおける最新のトレンド・テクニックについて説明する
- コンピュートリソースの不正利用について
- 攻撃者が被害者企業の環境において、コンピュートリソースが数百万ドル不正利用される攻撃。
- ある日、突然利用費が跳ね上がることでユーザーは気づく
- 数日に集中的に莫大なVMのリソースが使われる
- 平均で300K$の被害がある
- 攻撃者が被害者企業の環境において、コンピュートリソースが数百万ドル不正利用される攻撃。
- 攻撃の流れ
- Azureでは、サブスクリプションの属するテナントのディレクトリを変更できる機能がある。これによりサブスクリプションを別のテナントに移転できるが、課金所有権は変更されない仕様。攻撃者はこの機能を悪用する
- 事例
- 攻撃者はまず被害者企業の管理ユーザーへの攻撃を試みる
- 攻撃者は管理ユーザーへの不正ログインに成功すると、まず新たなサブスクリプションを作る
- その新しいサブスクリプションを攻撃者のテナントへ(上記のディレクトリ変更により)移転する
- これにより、攻撃者も自身の管理するテナント配下に、被害企業に課金させるサブスクリプションを置く状態にすることができる
- 複数の企業で同様のことを行い、自身のテナントにこうしたサブスクリプションを集約する
- この状態では被害企業は移転されたテナントについて手を出すことができず、Azureサポートチームに連絡するほかない
- 管理ユーザーをどう攻撃するのか?
- Azureの利用者のうち、管理者ユーザーでMFAを利用しているのは30%程度
- パスワードだけで突破できる可能性が高い
- ユーザーがオーナー権限に昇格できる場合もある
- Azureの利用者のうち、管理者ユーザーでMFAを利用しているのは30%程度
- コンピュートリソースの不正利用について
- 前述のように、不正利用の被害金額の平均は300K$
- どのような利用がなされているのか?
- VMおよびそのスケールセット、MLに関してのPaaSサービスの利用にフォーカスされている事が多い
- 仮想通貨のマイニングのため
- VMの利用はロケーションベースで制限されている
- 攻撃者はクォータのリクエストを行い上限を緩和する
- Azure Batch Serviceにより、あるロケーションで集中的にリソースを利用、その後別のロケーションに移動し続ける、といった手法がある
- VMおよびそのスケールセット、MLに関してのPaaSサービスの利用にフォーカスされている事が多い
- どのような利用がなされているのか?
- 前述のように、不正利用の被害金額の平均は300K$
- 検知と対策
- 検知には2つのログリソースがあり、不審なアクティビティをモニタできる
- Azure Control Planeのログ
- リソースの作成などクラウドのアクティビティに関するログが記録される
- サブスクリプションの移転、不審なロールのアサインの記録などが重要
- Entra ID logs
- Azure Control Planeのログ
- 最小限のアクセスの権限の保持などの対策をする
- 検知には2つのログリソースがあり、不審なアクティビティをモニタできる
- 重要なtakeaway
- リソースの不正利用は非常に多い攻撃事例
- クラウドがその攻撃にさらされる場合が多い
- 多要素認証などを使ってクラウドセキュリティを高めることが重要
感想
- Azureでの不正利用の攻撃について、わかりやすい解説でした。
- この講演はAzureでの事例ですが、講演でも話されたとおりリソースの不正利用は非常に多い攻撃事例であり、AWSなどでも多く見られる問題でもあります。攻撃者がどのように攻撃を仕掛けるかを理解して、不正利用されないよう対策を考える必要がありますね。
![[レポート]NGate:NFCを中継してATMから不正引き出しを行う新型Androidマルウェア – CODE BLUE 2024 #codeblue_jp](https://images.ctfassets.net/ct0aopd36mqt/Zons7RQD2xcZVq9pUY8Dp/4d05341e17a1eb3ccf108b25f8044b03/eyecatch_codeblue_2024_1200x630.png)
