Злоумышленники могут воспользоваться некоторыми особенностями GoogleAppEngine для динамической генерации бесконечного количества субдоменов, которые будут рассматриваться большей частью корпоративных антивирусов как безопасные.
Проблема Google App Engine
Исследователь по кибербезопасности Марсель Афрахим (Marcel Afrahim) описал методику превращения платформы Google App Engine в инструмент тиражирования вредоносных доменов, которые останутся незамеченными для большей части корпоративных защитных средств.
Google App Engine — это облачный сервис для разработки и хостинга веб-приложений на серверах Google. Его инфраструктура и используемый метод маршрутизации не позволяют заблокировать отдельный субдомен или веб-приложение, что создает довольно серьезную проблему для безопасности.
Злоумышленники нередко используют легитимные облачные сервисы для хостинга вредоносных приложений, контрольных серверов или фишинговых страниц. Как указывается в материале BleepingComputer, в большей части случаев, однако, генерируемые домены имеют структуру URL, которая позволяет легко мониторить и блокировать их на уровне корпоративных средств безопасности. Например, веб-приложение Microsoft Azure будет иметь адрес https://example-subdomain.app123.web.core.windows.net/.
Заблокировав входящие и исходящие запросы для этого субдомена можно застраховаться от атак от вредоносного приложения, размещенного на нем.
Мягкая маршрутизация
С Google App Engine, однако, ситуация выглядит иначе. Стандартный URL для субдомена в GAE содержит не только название приложения или службы, но также его версию, идентификатор проекта, к которому оно относится, и идентификатор региона, в котором располагается сервер: <версия>.<служба>.<идентификатор проекта><идентификатор региона>.r.appspot.com.
Самое же главное, это что если параметр версии указан неверно, то Google App Engine возвращает не ошибку 404 («Страница не найдена»), а выводит пользователя на «умолчательную» страницу приложения, то есть производит «мягкую маршрутизацию». Ключевое, по словам Афрахима, чтобы правильно были указаны идентификаторы проекта и региона. Остальные составляющие URL могут быть по сути любыми.
По словам Афрахима, это может означать, что злоумышленник может создать произвольное (неограниченное) количество доменов, и все будут представлять одно и то же потенциально вредоносное приложение. А значит, заблокировать его будет очень проблематично.
Более того, все эти субдомены будут классифицироваться как безопасные. И сам домен appspot.com, и все его поддомены большая часть корпоративных антивирусов и фильтров автоматически рассматривают как безопасные и не проверяют поступающее с них содержимое.
Все это злоумышленники уже используют. Эксперт по безопасности Юсуке Осуми на прошлой неделе обнаружил фишинговую страницу, якобы принадлежащую Microsoft, и составил список из более чем 2 тыс. субдоменов Appspot.com, переадресовывавших пользователей на эту страницу. Домены были сгенерированы фишинговым приложением.
В прошлом система генерации доменов Cloudflare работала по сходному принципу, чем воспользовались разработчики вредоноса Astaroth для обхода любой защиты.
Теперь и операторы вредоносов, размещаемых в Appspot.com, могут использовать архитектуру маршрутизации сервиса для обхода разных форм защиты, включая те, которые базируются на индикаторах компрометации (IOC): они будут разными для каждого домена.
«Это очередное свидетельство необходимости многослойной защиты, — указывает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Корпоративные сетевые экраны могут быть бесполезными, когда речь идет об использовании злоумышленниками абсолютно легитимных ресурсов со своими архитектурными особенностями. Хотя, конечно, в идеале Google стоило бы пересмотреть подход к генерации доменов в AppEngine».
Источник: cnews.ru