Riscos de whitelisting com curingas em serviços de nuvem pública

Como complemento ao documento existente sobre cloudfront.net, esta seção detalha outros domínios base utilizados por provedores de nuvem que permitem a criação dinâmica de subdomínios por parte de milhões de usuários.

Realizar whitelisting de forma ampla sobre esses sufixos (por exemplo, *.s3.amazonaws.com ou *.windows.net) implica permitir tráfego para conteúdo não verificado, incluindo instâncias ativas de malware, phishing e campanhas de distribuição de C2.

Aviso

Domínios base de risco (não devem receber whitelisting com *)

Sufixos comuns de serviços em nuvem

Sufixo

Provedor ou serviço

cloudfront.net

Amazon CloudFront (CDN)

s3.amazonaws.com

Amazon S3 (armazenamento de objetos)

s3-<region>.amazonaws.com

Amazon S3 com localização regional

storage.googleapis.com

Google Cloud Storage

firebaseio.com

Google Firebase Realtime DB / Hosting

appspot.com

Apps do Google App Engine

blob.core.windows.net

Microsoft Azure Blob Storage

web.core.windows.net

Azure Static Website Hosting

azureedge.net

Azure CDN

digitaloceanspaces.com

DigitalOcean Spaces

cdn.digitaloceanspaces.com

Endpoint CDN da DigitalOcean

github.io

GitHub Pages

netlify.app

Apps da Netlify

vercel.app

Apps da Vercel

Exemplos reais de abuso no DigitalOcean Spaces

Subdomínios maliciosos no DigitalOcean Spaces detectados pelo VirusTotal

Subdomínio

Link para análise no VirusTotal

Família / ameaça

ben-advanced.fra1.digitaloceanspaces.com

Analisar no VirusTotal (1)

malware

filekg-download-01.fra1.cdn.digitaloceanspaces.com

Analisar no VirusTotal (2)

SmokeLoader

downcheck.nyc3.cdn.digitaloceanspaces.com

Analisar no VirusTotal (3)

Lumma Stealer

Alguns subdomínios podem hospedar conteúdo malicioso temporariamente e depois voltar a um estado “limpo”. Isto pode ocorrer devido a:

  • Remoção do conteúdo malicioso após uma denúncia

  • Rotação de recursos por parte de atores maliciosos

  • Reutilização de buckets públicos por diferentes usuários

Aviso

A existência de falsos negativos ou de análises “limpas” posteriores não invalida a evidência de uso malicioso. Justificar um wildcard sobre domínios como *.digitaloceanspaces.com porque “já não está no VirusTotal” equivale a confiar em um atacante que simplesmente apagou seus rastros após executar a campanha.

Recomendações

  • Nunca aplicar whitelisting com * sobre nenhum dos sufixos listados.

  • Analisar individualmente cada subdomínio que deva ser excluído do RPZ.

  • Automatizar validações com ferramentas como VirusTotal, URLhaus ou feeds de Threat Intelligence.

  • Registrar data e evidência de cada exceção para futuras auditorias.