Cybercrime in cloud environments: Tactics, techniques and procedures

Abstract

Cloud services have become a prevalent part of the IT infrastructure that organizations work with. These services also offer cybercriminals new ways to operate. In this thesis, we map the evolution of cybercrime in cloud environments. The aim is to understand the ways in which cybercriminals attack different cloud environments, how the services are misused, and how cloud is changing the way in which cybercriminals work.

We present case studies on the threat actors’ operations changing over time as well as the evolution of initial access attack techniques on platforms where reports on a specific threat actor’s operations are not available.

The evolution shows a clear trend towards more diverse and wide spread use of cloud services for the different parts of the attack kill chain. Cloud offers cybercriminals a host of benefits. Attackers have adopted the cloud services to blend into benign traffic, and they use the cloud functionality to perform malicious activity. The cloud is used as a malware hosting platform, as a malware delivery channel, as a phishing platform, and as a channel for command and control. Misconfiguration abuse and cloud-delivered phishing emails are some of the most common initial access vectors into cloud environments. Cloud supply chain attacks and cloud service feature and trust abuse are amongst the most critical attack paths currently and for the future.

Pilvipalveluista on tullut vallitseva osa organisaatioiden IT ympäristöistä. Palvelut tarjoavat myös kyberrikollisille uusia tapoja toimia. Tässä tutkimuksessa kartoitamme kyberrikollisten toimintaa ja toimintatapojen kehitystä viime vuosina. Tavoitteena on ymmärtää tavat, joilla kyberrikolliset hyökkäävät pilviympäristöjä vastaan, kuinka palveluita väärinkäytetään ja kuinka ne muokkaavat kyberrikollisten toimintaa.

Esitämme tapaustutkimuksia eri kyberrikollisryhmien operaatioiden muutoksista ja lisäksi hyökkäyksien alun tunkeutumistapoja alustoilla, joilla toimivien yksittäisten toimijoiden operaatioista ei ole saatavilla raportteja.

Tutkimus osoittaa, että kehityksessä on selkeä suunta monimuotoisempaan ja laajalle levittäytyvään pilvipalveluiden hyväksikäyttöön hyökkäys ketjujen eri vaiheissa. Pilvipalvelut tarjoavat kyberrikollisille paljon hyötyjä. Hyökkääjät ovat omaksuneet palveluntarjonnan avukseen rikollisen toimintansa tueksi. Niitä käytetään haittaohjelmien isännöintiin, haittaohjelmien levitykseen, tietojen kalasteluun ja komento ja kontrolli yhteyksiin. Virheellisten asetusten hyväksikäyttö ja pilvipalveluiden kautta lähetetyt kalasteluviestit ovat hyökkääjien yleisimmin käyttämiä hyökkäysvektoreita pilviympäristöihin kohdistetuissa hyökkäyksissä. Pilven toimitusketjut, palveluiden ominaisuuksien ja luottamuksen hyväksikäyttö ovat kriittisimpiä hyökkäyspolkuja nykyisellään sekä tulevaisuudessa.