Cuidados ao utilizar whitelisting em `cloudfront.net`

O Amazon CloudFront é um serviço de Content Delivery Network (CDN) utilizado legitimamente por milhares de empresas para distribuir conteúdo web de forma rápida e escalável. Este serviço opera sob o domínio principal cloudfront.net, utilizando subdomínios únicos como d123abc456def.cloudfront.net para cada distribuição.

No entanto, o CloudFront também é frequentemente utilizado por atores maliciosos para hospedar e distribuir:

  • Malware

  • Campanhas de phishing

  • Payloads de ferramentas pós-exploração como Cobalt Strike

Isto é possível devido à facilidade com que um atacante pode configurar sua própria distribuição do CloudFront para ocultar sua infraestrutura maliciosa atrás de um domínio legítimo.

Não realizar whitelisting de *.cloudfront.net

Incluir uma exceção como *.cloudfront.net em uma política RPZ é extremamente arriscado. Este tipo de regra permitirá o acesso a todos os subdomínios do CloudFront, incluindo aqueles que são utilizados atualmente em campanhas ativas de malware.

Isto equivale a desativar completamente a proteção RPZ diante de um dos vetores de entrega mais comuns utilizados por ameaças modernas.

Casos reais de detecção de malware no CloudFront

A seguir são listados subdomínios de cloudfront.net utilizados em campanhas maliciosas recentes. Cada entrada inclui um link direto para sua análise no VirusTotal, permitindo ao leitor verificar por si mesmo as evidências.

Data

Subdomínio

Evidência no VirusTotal

2025-02-12

d2j09jsarr75l2.cloudfront.net

SocGholish (TA569)

2025-06-19

dxzdq7un7c7hs.cloudfront.net

ThreatFox C2 (1)

2025-06-19

d3hg0xriyu9bjh.cloudfront.net

ThreatFox C2 (2)

2025-06-27

dyydej4wei7fq.cloudfront.net

APT OneClik Campaign (1)

2025-06-27

dzxwmpi8xepml.cloudfront.net

APT OneClik Campaign (2)

2025-07-13

d2kb7e4l5uwdes.cloudfront.net

Cobalt Strike (1)

2025-07-13

d3ayy3ulepm5xz.cloudfront.net

Cobalt Strike (2)

2025-07-13

dm2sy2pi4jasa.cloudfront.net

Cobalt Strike (3)

2025-07-13

d11vxzkgntd3fu.cloudfront.net

Cobalt Strike (4)

2025-07-15

d3ser9acyt7cdp.cloudfront.net

CrypticSilverFish

Recomendações operacionais

  1. Não aplicar regras de whitelisting em ``*.cloudfront.net``. Permitir apenas subdomínios específicos, após verificação manual ou por reputação.

  2. Correlacionar subdomínios com fontes de inteligência, como VirusTotal, ThreatFox ou feeds internos.

  3. Monitorar logs de resoluções DNS em busca de novos subdomínios sob cloudfront.net para análise e eventual inclusão no RPZ.

  4. Educar a equipe de segurança sobre os riscos de criar exceções genéricas para domínios de grandes provedores como Amazon, Google, Microsoft etc.

Aviso

Uma única exceção mal aplicada (como *.cloudfront.net) pode neutralizar completamente a efetividade de um sistema RPZ, permitindo campanhas maliciosas sob domínios com aparente legitimidade.