Unit 42 Incident Response
Resumo executivo
Os ataques contra a infraestrutura hospedada na nuvem estão aumentando, e a prova está na análise das tendências de alertas de segurança. Pesquisas recentes revelam que as organizações viram quase cinco vezes mais alertas diários baseados em nuvem no final de 2024 em comparação com o início do ano. Isso significa que os invasores aumentaram significativamente o foco em ataques e violações da infraestrutura de nuvem.
Esses alertas não são simplesmente falsos positivos. Observamos os maiores aumentos nos alertas de alta severidade, o que significa que os indicadores de ataques estão visando com sucesso os recursos críticos da nuvem, conforme explicado na Tabela 1.
| Recurso de nuvem | Por que é fundamental |
| Gerenciamento de identidade e acesso (IAM) | O vazamento de credenciais pode expor a infraestrutura de nuvem de uma organização. |
| Armazenamento | Pode conter dados confidenciais da organização ou do cliente. |
| Máquinas virtuais | Frequentemente conectadas a serviços internos adicionais, oferecem oportunidades de movimentação lateral aos invasores. |
| Contêineres | A exploração do host do contêiner pode permitir que os invasores executem contêineres maliciosos. |
| Serverless | As funções serverless são projetadas para fins automatizados singulares. Não devem ocorrer execuções remotas de linha de comando. |
Tabela 1. Criticidade de determinados recursos de nuvem.
Em particular, os invasores atacaram com frequência os tokens de IAM serverless, resultando no uso remoto da linha de comando. Eles são importantes porque podem ser usados para obter acesso ao ambiente de nuvem maior de uma organização. Como parte do aumento dos alertas de nuvem, houve três vezes mais eventos de acesso remoto à linha de comando utilizando tokens de gerenciamento e acesso à identidade (IAM) e credenciais usadas por funções serverless na nuvem.
Também identificamos outras tendências de aumento nos alertas:
- Um aumento de 116% nos alertas de IAM "eventos de viagem impossíveis" (ou seja, eventos de login de áreas geográficas distantes em um curto intervalo de tempo)
- Um aumento de 60% nas solicitações de API (interface de programação de aplicativos) de IAM de regiões externas para recursos de computação (máquina virtual em nuvem)
- Um pico de aumento de 45% no número de exportações de snapshots de nuvem em novembro de 2024
- Um aumento de 305% no número de downloads suspeitos de vários objetos de armazenamento em nuvem
A identidade é o perímetro de defesa da infraestrutura de nuvem. Os atacantes têm como alvo tokens IAM e credenciais, pois eles detêm as chaves do reino da nuvem, permitindo que os atacantes se movimentem lateralmente, aumentem o nível de suas permissões e realizem outras operações maliciosas. O aumento no número de tentativas de acesso e no uso de contas de serviços IAM sensíveis significa que os invasores de todo o mundo têm seus olhos voltados para os recursos da nuvem.
Os atacantes têm como alvo os serviços de armazenamento em nuvem, pois eles geralmente contêm dados confidenciais. Observamos um aumento notável no número de downloads suspeitos de objetos de armazenamento em nuvem e exportações de snapshots de imagens. Alertas suspeitos de download de objetos de armazenamento em nuvem são acionados quando uma única identidade baseada em IAM faz o download de muitos objetos de armazenamento em um intervalo de tempo limitado. Isso pode significar operações maliciosas, como ransomware ou extorsão. Os snapshots de imagem são visados pelos invasores pois podem conter dados confidenciais relacionados à infraestrutura de nuvem e às credenciais de IAM, podendo permitir que o invasor eleve privilégios e se desloque lateralmente em um ambiente de nuvem da vítima.
Esses exemplos ilustram a necessidade imediata de proteger os ambientes de nuvem, não só com ferramentas básicas de gerenciamento da postura de segurança na nuvem (Cloud Security Posture Management - CSPM), como também em cooperação com ferramentas que detectam e impedem operações maliciosas em runtime (“tempo de execução”) à medida que elas ocorrem.
Ao implantar as ferramentas de segurança de nuvem em tempo de execução do Cortex Cloud - também chamadas de Cloud Detection and Response (CDR) - as equipes de segurança podem identificar e evitar eventos maliciosos em ambientes de nuvem.
Se você acha que pode ter ocorrido um comprometimento ou tem um assunto urgente, entre em contato com a equipe de resposta a incidentes da Unit 42.
Ataques em nuvem em escala
Em uma publicação recente da Unit 42 , publicamos detalhes de uma campanha de ransomware e extorsão que visava diretamente a arquivos de variáveis de ambiente expostos. O ator de ameaça da campanha coletou com sucesso mais de 90.000 credenciais de 110.000 domínios visados. O mais preocupante é que eles também coletaram quase 1.200 credenciais IAM da nuvem. Essas credenciais permitiram que o ator de ameaça realizasse com sucesso ataques de extorsão contra várias organizações.
Essa operação destaca uma oportunidade de discutir os mecanismos de segurança que estão em vigor para proteger as organizações. Especificamente, isso nos permite determinar como empregar soluções de segurança de gerenciamento de postura e monitoramento em tempo de execução sem problemas. Isso permite que as organizações criem um perímetro de defesa de segurança na nuvem que seja suficientemente robusto e capaz de enfrentar essas novas ondas de invasores.
Durante a pesquisa para este artigo, descobrimos que o número total médio de alertas de nuvem experimentados por uma organização aumentou 388% em 2024. Esses alertas foram originados das operações de gerenciamento de postura e de detecção de monitoramento em tempo de execução.
Embora os alertas com severidade "informativa" tenham sido responsáveis pela maioria dos alertas, é extremamente importante destacar que a mudança mais significativa foi no número de alertas de alta severidade. Essa classificação de alerta registrou um aumento de 235% em 2024. Os alertas de severidade média e baixa também aumentaram em 21% e 10%, respectivamente.
O que significam esses alertas de tendências
As mudanças que observamos no número de alertas se alinham com nosso Relatório do estado de segurança nativa na nuvem de 2024, que constatou que 71% das organizações atribuem o aumento da exposição a vulnerabilidades às implementações aceleradas. Além disso, 45% dessas organizações relatam um aumento nos ataques de ameaças persistentes avançadas (APT) no último ano.
Um caso em questão é a pesquisa recente da Microsoft sobre o Storm-2077, um grupo de atores de ameaças na nuvem (CTAG) baseado na China que emprega técnicas complexas de coleta de credenciais de IAM na nuvem para obter e manter o acesso aos ambientes de nuvem das vítimas. Fica bem evidente que tanto o gerenciamento da postura na nuvem quanto o monitoramento da segurança em tempo de execução devem funcionar como uma única unidade para realizar a proteção adequada contra a próxima fase de ameaças em ambientes de nuvem. A Seção de histórico abaixo fornece informações adicionais sobre gerenciamento de postura e detecções de monitoramento em tempo de execução.
Uma missão importante para as equipes de defesa da nuvem é projetar e implantar uma plataforma de segurança na nuvem que melhore os recursos de detecção. Isso permite que os administradores não só detectem configurações incorretas e vulnerabilidades, como também coletem e analisem os eventos em tempo de execução em ambientes de nuvem. Essa plataforma oferece às equipes de defesa melhor visibilidade e permite um tempo de resposta mais rápido ao lidar com alertas.
Embora a capacidade de identificar e detectar eventos de nuvem maliciosos ou suspeitos tenha aumentado em toda indústria, o mesmo ocorreu com a complexidade das operações de nuvem ofensivas dos atores de ameaças. Por exemplo, em janeiro de 2024, o ambiente de nuvem médio viu apenas dois alertas para o uso remoto de linha de comando de um token IAM de função serverless. Isso permaneceu uniforme durante todo o ano. No entanto, até dezembro de 2024, o ambiente de nuvem médio teve mais de 200 desses mesmos alertas: um sinal preocupante de aumento de atividade. Como compartilhado no artigo Variáveis de ambiente vazadas , essa operação em tempo de execução é exatamente o que ocorreu durante esse evento malicioso de extorsão.
Outras evidências que apoiam essa tendência são as seguintes:
- Um aumento de 116% nos alertas de viagens impossíveis relacionados a identidades na nuvem
- Um aumento de 60% no número de carga de trabalho de computação chamadas de API que ocorrem fora da região de nuvem dessa instância
- Um aumento de 45% no número de exportações de snapshots de nuvem
- Um aumento de 305% no número de downloads suspeitos de vários objetos de armazenamento em nuvem
Ambas as constatações de alerta são um forte indicador de que o objetivo principal dos CTAGs é visar, coletar e usar um token IAM ou credencial de nuvem. Isso também indica que os invasores usarão esses tokens ou credenciais para operações potencialmente maliciosas.
Histórico
As ferramentas de gerenciamento da postura de segurança na nuvem (CSPM) formam a base da segurança na nuvem. Suas operações se concentram no monitoramento do controle de proteção para garantir que os ambientes de nuvem mantenham configurações seguras e estejam livres de vulnerabilidades e configurações incorretas.
O monitoramento do gerenciamento de postura é tradicionalmente baseado na varredura de segurança específica do tempo dos recursos e das configurações de um ambiente de nuvem. Os alertas são acionados quando um recurso de nuvem novo ou modificado parece apresentar riscos potenciais à segurança.
Por exemplo, um alerta será acionado se uma política de IAM for excessivamente permissiva e permitir o acesso a outros recursos da nuvem. Ele também será acionado se uma instância de computação em nuvem ou função serverless contiver vulnerabilidades ou configurações incorretas.
As operações de escaneamento do gerenciamento da postura são realizadas de forma rotineira, geralmente de hora em hora ou diariamente. Algumas ferramentas de segurança CSPM também permitem o monitoramento de registros de auditoria da plataforma de nuvem, o que pode ajudar a detectar atividades suspeitas que ocorrem em uma plataforma de serviços em nuvem (CSP). É fundamental que as organizações configurem sua plataforma CSPM para coletar os logs de auditoria de seus aplicativos de software como serviço (SaaS) baseados em nuvem de terceiros para garantir visibilidade.
As ferramentas de CDR fornecem detecções de monitoramento em tempo de execução, coletando, identificando e até mesmo evitando operações que ocorrem durante um determinado evento. Ao coletar os registros de instâncias de computação em nuvem, recursos de logging do CSP e aplicativos SaaS em nuvem de terceiros, as ferramentas de segurança de CDR podem identificar, alertar e evitar eventos maliciosos na nuvem.
Exemplos dessas operações incluem a execução de uma solicitação de API em uma plataforma de nuvem ou aplicativo de nuvem, como:
-
- Criação de novos usuários de nuvem ou contas de serviço
- Atribuição de políticas de IAM a usuários ou funções de IAM novos ou estabelecidos
- Estabelecimento de conexões de rede a partir de um nó de saída Tor ou host VPN
Em comparação com as ferramentas de gerenciamento de postura, as ferramentas de monitoramento em tempo de execução monitoram continuamente o ambiente de nuvem e geralmente exigem um agente dedicado para manter a visibilidade dos recursos da nuvem. Quando um agente é instalado, as ferramentas de segurança de monitoramento em tempo de execução da nuvem permitem a detecção, e até mesmo a prevenção, de operações maliciosas na nuvem à medida que elas ocorrem.
Tendências de alertas de alta severidade
Observamos um claro aumento no número de alertas em 2024, correlacionado com o aumento de ataques a ambientes de nuvem.
Os alertas de nuvem de alta severidade aumentaram em 235% ao longo de 2024. O maior pico em um único mês (281%) ocorreu em maio, e observamos o aumento mais substancial desses alertas (204%, 247% e 122%) em agosto, outubro e dezembro, conforme mostrado na Figura 1.
Os 10 principais alertas de alta frequência
Uma análise mais detalhada dos 10 alertas diários de alta severidade mais frequentes revela muitos alertas relacionados apenas a eventos focados em tempo de execução. Esses alertas são acionados por um único evento ou por uma sequência de eventos conectados. Para essa detecção, foi necessária uma análise quase em tempo real ou, em alguns casos, uma análise em tempo real.
A Tabela 2 abaixo mostra que o uso remoto da linha de comando dos tokens de IAM serverless é um evento que requer análise de registro em tempo real para ser detectado e, possivelmente, evitado. Por outro lado, o alerta de alta severidade mais frequente, "proteção contra exclusão de armazenamento em nuvem desativada", pode ser detectado e mitigado com uma ferramenta CSPM.
| Nome do alerta | Tempo de execução ou controle de postura | Contagem média diária |
| Uso da linha de comando remota de token serverless | Tempo de execução | 24.68 |
| Uma identidade realizou um download suspeito de vários objetos de armazenamento em nuvem | Tempo de execução | 21.09 |
| Proteção contra exclusão do armazenamento em nuvem desativada | Postura e tempo de execução | 20.19 |
| Alocação anormal de recursos de computação em muitas regiões | Postura e tempo de execução | 11.11 |
| Uma conta de serviço de nó do Kubernetes foi usada fora do cluster a partir de um IP fora da nuvem | Postura | 11 |
| Alocação anormal suspeita de recursos de computação em várias regiões | Postura e tempo de execução | 10 |
| Exportação de vários snapshots de nuvem | Tempo de execução | 9.33 |
| Uso da linha de comando remota de função serverless | Tempo de execução | 7.79 |
| Alocação incomum de vários recursos de computação em nuvem | Postura e tempo de execução | 7.73 |
| Alocação anormal incomum de recursos de computação em várias regiões | Postura e tempo de execução | 6.42 |
Tabela 2. Alerta de alta severidade por ocorrência média.
Para garantir a proteção dos objetos de armazenamento em nuvem em um contêiner de armazenamento cuja proteção contra exclusão tenha sido desativada, recomendamos fortemente a implantação de uma ferramenta CDR. Essas ferramentas podem detectar e impedir que qualquer objeto de armazenamento em nuvem seja excluído como resultado de um evento de "proteção desativada".
Outros alertas notáveis de alta severidade incluem várias exportações de snapshots de nuvem e uso suspeito de uma conta de serviço de IAM. Ambos são indicadores-chave de atividade maliciosa em um ambiente de nuvem.
Exemplos de operações maliciosas que podem acionar vários desses alertas são eventos de extorsão ou ransomware com foco na nuvem. Esses tipos de eventos só podem ser alavancados se primeiro forem desativadas as proteções de armazenamento em nuvem, como a proteção contra exclusão e os backups automáticos. Quando essas proteções são removidas, os atores maliciosos podem excluir ou exfiltrar objetos de contêineres de armazenamento em nuvem, aumentando a probabilidade de sucesso em uma operação de extorsão.
Alguns desses alertas de alta severidade também podem ser acionados pelo comprometimento de recursos de instância de computação ou serverless expostos ou vulneráveis. Especificamente em termos do uso remoto da linha de comando de um token IAM serverless, as funções serverless são projetadas para operar de forma autônoma e independente.
O uso remoto ou não autorizado do token de IAM de uma função serverless indica comprometimento e possível movimento lateral dentro do ambiente de nuvem. O mesmo tipo de evento pode indicar o uso malicioso de um token de IAM de uma conta de serviço. Como os tokens de IAM da conta de serviço têm normalmente uma única finalidade, qualquer uso anormal desse token deve ser considerado suspeito.
Tendências de alertas de severidade média
Ao contrário do pico de alertas de alta severidade no final do ano, observamos um pico contínuo de alertas de severidade média em meados de 2024. Esse pico incluiu um aumento inicial de 186% e um aumento subsequente de 24%, antes de uma tendência de queda até dezembro, como mostra a Figura 2.
Os 10 principais alertas de severidade média
Os 10 principais alertas de severidade média, mostrados na Tabela 3 abaixo, diferem dos 10 principais alertas de severidade alta listados na Tabela 2 acima. A principal diferença é que, com exceção de um dos 10 principais alertas de severidade média, os eventos só podem ser detectados com a execução de alguma forma de análise de proteção em tempo de execução.
O evento "transferência incomum de alto volume de dados" pode ser acionado usando as detecções tradicionais de CSPM de recursos de nuvem. No entanto, assim como o evento de alta severidade "proteção contra exclusão de armazenamento em nuvem desativada" discutido acima, uma ferramenta de CDR seria mais capaz de detectar esse evento incomum de transferência de volume quando ele estivesse ocorrendo. Ele também pode identificar os tipos de arquivos e seus locais de arquivo ou diretório de armazenamento em nuvem. Esses detalhes fornecem às equipes de segurança os recursos mais desejados para realizar seu trabalho: tempo e conhecimento.
| Nome do alerta | Tempo de execução ou controle de postura | Contagem média diária |
| Uma identidade IAM tentou realizar várias ações em recursos que foram negadas | Tempo de execução | 80 |
| Uma identidade vinculada à computação executou chamadas de API fora da região da instância | Tempo de execução | 36.32 |
| Tentativa de acesso a aplicativos em nuvem de um tenant incomum | Tempo de execução | 21.69 |
| Uma identidade realizou um download suspeito de vários objetos de armazenamento em nuvem de vários compartimentos (“buckets”) | Tempo de execução | 18.66 |
| Viagem impossível de uma identidade de computação em nuvem | Tempo de execução | 18.65 |
| Transferência de dados incomum de alto volume de armazenamento | Tempo de execução | 15 |
| Atividade da conta de serviço do Kubernetes fora do cluster a partir de um IP fora da nuvem | Tempo de execução | 12.15 |
| Um aplicativo de nuvem executou várias ações que foram negadas | Tempo de execução | 12.02 |
| Exportação de vários snapshots de nuvem | Tempo de execução | 10 |
| Identidade suspeita baixou vários objetos de um bucket de armazenamento de backup | Tempo de execução | 9.68 |
Tabela 3. Alerta de severidade média por ocorrência média.
Vários dos alertas listados na Tabela 3 podem indicar que os atores maliciosos estão direcionando recursos da nuvem, como contas de serviço do Kubernetes fora do cluster ou de um endereço IP que não seja da nuvem. Esses dois alertas, em particular, podem indicar que os tokens de autenticação do cluster do Kubernetes foram comprometidos, pois os tokens IAM da conta de serviço foram projetados para uma finalidade específica. Qualquer operação que use essas credenciais de fora do cluster - ou fora do ambiente de nuvem conhecido - deve ser considerada uma atividade suspeita e deve ser mitigada.
Outro alerta importante a destacar é a exportação de vários snapshots de nuvem. Embora possa haver um caso de uso legítimo para esse tipo de evento, como a implantação de snapshots ou um backup externo, os atores de ameaças também exportam snapshots. Os snapshots de nuvem podem conter informações confidenciais, o que os torna um alvo comum de operações maliciosas.
O que as organizações podem fazer
Há várias etapas que as organizações podem implementar para se protegerem melhor contra operações maliciosas na nuvem:
- Implementar um monitoramento eficaz em tempo de execução do CDR
- Implante uma segurança de nuvem CDR para todos os seus ambientes de nuvem
- Certifique-se de que todos os endpoints de nuvem de missão crítica tenham agentes habilitados para tempo de execução para detectar operações em tempo de execução de computação e contêineres
- Certifique-se de que o monitoramento do registro de auditoria da nuvem em tempo de execução esteja disponível nos seus provedores de CSP
- Certifique-se de que seus aplicativos SaaS em nuvem integrados coletem:
- Provedores de identidade (IdP)
- Integrações de CI/CD
- Repositórios de código-fonte
- Plataformas de geração/emissão de tickets
- Impor limites às regiões do CSP nas quais as funções de computação e serverless têm permissão para operar
- É prática comum que os atores de ameaças criem recursos de nuvem em regiões de CSPs estrangeiros para realizar uma forma básica de ofuscação de operações
- Identificar e impedir que as contas de serviço de IAM realizem operações fora de suas funções pretendidas
- Seguir o design da arquitetura de privilégios mínimos (“least privilege”) para credenciais de IAM pode ajudar muito a combater o movimento lateral e as operações de elevação de privilégios se uma credencial de IAM for comprometida
- Certifique-se de que o controle de versão e a encriptação do armazenamento em nuvem estejam em vigor para todos os contêineres de armazenamento em nuvem
- O controle de versão e a encriptação são configurações gratuitas para todos os contêineres de armazenamento em nuvem de cada um dos três principais provedores de serviços em nuvem
- Esses dois recursos também aumentam significativamente as dificuldades que os atores de ameaças encontrarão ao tentar roubar suas informações valiosas e confidenciais
Em caso de dúvida, lembre-se de que as defesas de monitoramento em tempo de execução do CDR devem estar presentes para combater com eficácia a maioria das ameaças enfrentadas pelos ambientes de nuvem.
Conclusão
O monitoramento em tempo de execução do CDR é um aspecto essencial da manutenção de um ambiente de nuvem segura, nuvem híbrida e multi-nuvem. Como demonstram os dados de tendências de alertas de severidade alta e média discutidos neste artigo, o número médio de alertas vistos nos ambientes de nuvem em 2024 aumentou em 388%.
Um número significativo desses alertas é o resultado direto da detecção de operações em tempo de execução, que não podem ser detectadas apenas com as ferramentas de gerenciamento de postura (CSPM). As ferramentas de CDR fornecem recursos de detecção em tempo de execução na nuvem, permitindo a detecção de eventos maliciosos que ocorrem em instâncias de computação em nuvem, hosts de contêineres ou funções serverless.
Dadas as crescentes ameaças direcionadas aos ambientes de nuvem, a única defesa real para esses ambientes é exigir agentes baseados em nuvem para endpoints de nuvem críticos e expostos publicamente, registro de auditoria do CSP e aplicativos SaaS de terceiros na nuvem. O uso de uma ferramenta de análise de CDR permite que a equipe de proteção colete, detecte e impeça a execução de operações maliciosas que podem afetar qualquer um desses recursos. A combinação de monitoramento em tempo de execução, análise e resposta para o registro de eventos de recursos de nuvem é essencial para garantir que operações maliciosas não funcionem em ambientes de nuvem.
Se você acha que pode ter sido comprometido ou tem um assunto urgente, entre em contato com a equipe de resposta a incidentes da Unit 42, ou ligue para:
- América do Norte: Ligação gratuita: +1 (866) 486-4842 (866.4.UNIT42)
- Reino Unido: +44.20.3743.3660
- Europa e Oriente Médio: +31.20.299.3130
- Ásia: +65.6983.8730
- Japão: +81.50.1790.0200
- Austrália: +61.2.4062.7950
- Índia: 00080005045107
A Palo Alto Networks compartilhou essas descobertas com nossos colegas membros da Cyber Threat Alliance (CTA). Os membros da CTA usam essa inteligência para implementar rapidamente proteções para seus clientes e para interromper sistematicamente os atores cibernéticos maliciosos. Saiba mais sobre a Cyber Threat Alliance.
Referências
- Leaked Environment Variables Allow Large-Scale Extortion Operation in Cloud Environments - Unit 42, Palo Alto Networks (em inglês)
- 2024 State of Cloud Native Security Report - Palo Alto Networks (em inglês)
- Microsoft shares latest intelligence on North Korean and Chinese threat actors at CYBERWARCON - Blog de Inteligência contra Ameaças, Microsoft (em inglês)
- What Is CSPM? | Explicação sobre o gerenciamento da postura de segurança na nuvem - Cyberpedia, Palo Alto Networks (em inglês)
- What Is CDR (Cloud Detection and Response)? - Cyberpedia, Palo Alto Networks (em inglês)
- Definição de gerenciamento de identidade e acesso (IAM) - Glossário de Tecnologia da Informação da Gartner (em inglês)
Receba atualizações da Unit 42 