AWSDoor garante persistência furtiva em nuvem

Pesquisadores identificaram a ferramenta AWSDoor, projetada para manter acesso persistente em contas AWS sem a necessidade de implantar malware tradicional. O utilitário automatiza técnicas de abuso de IAM e de serviços nativos da nuvem, permitindo que invasores se escondam em configurações legítimas.

Leia também
PF prende mais oito por ataque a sistemas do PIX
“Senha que gira o PIX” estava com membro de quadrilha

De acordo com a RiskInsight, o AWSDoor injeta AccessKeys em usuários comprometidos para garantir persistência em CLI. O mecanismo pode listar chaves existentes, desativar as não utilizadas e remover rastros, misturando-se ao tráfego legítimo. Além disso, manipula TrustPolicies para backdoor em funções IAM, adicionando entidades externas com permissão de sts:AssumeRole, o que viabiliza acesso duradouro sem depender de credenciais explícitas e dificultando a detecção via CloudTrail.

O recurso também explora Lambda Layers envenenados, anexados a funções com privilégios excessivos. Neles, bibliotecas maliciosas substituem chamadas legítimas (como requests.get), garantindo execução de código toda vez que a função é invocada. Quando expostas por API Gateway ou Function URL, essas funções funcionam como shells remotos, dificultando auditorias em console e revisões de código.

Entre os mecanismos de ocultação adicionais, o AWSDoor pode desativar logs do CloudTrail, abusar de regras de ciclo de vida do S3 e até desanexar contas para enfraquecer visibilidade e resposta a incidentes.

Mitigações recomendadas incluem monitorar continuamente alterações em políticas IAM, especialmente eventos como CreateAccessKey, UpdateAssumeRolePolicy e PutRolePolicy. Também é necessário auditar Lambda Layers e validar URLs externas de funções. O uso combinado de Cloud Security Posture Management (CSPM) e Cloud EDR ajuda a detectar modificações anômalas e comportamentos suspeitos em tempo de execução.

O AWSDoor mostra que adversários estão migrando para persistência baseada em configurações, reforçando a importância de auditorias de políticas e da integridade de telemetria para proteger ambientes em nuvem.