Cuidados al utilizar whitelisting en `cloudfront.net`

O Amazon CloudFront é um serviço de Content Delivery Network (CDN) utilizado legitimamente por milhares de empresas para distribuir conteúdo web de forma rápida e escalável. Este serviço opera sob o domínio principal cloudfront.net, usando subdomínios únicos como d123abc456def.cloudfront.net para cada distribuição.

No entanto, o CloudFront também é frequentemente utilizado por agentes maliciosos para hospedar e distribuir:

  • Malware

  • Campanhas de phishing

  • Payloads de ferramentas pós-exploração como Cobalt Strike

Isso é possível devido à facilidade com que um invasor pode configurar sua própria distribuição do CloudFront para esconder sua infraestrutura maliciosa por trás de um domínio legítimo.

Não aplicar whitelisting em *.cloudfront.net

Incluir uma exceção como *.cloudfront.net em uma política RPZ é extremamente arriscado. Esse tipo de regra permitirá acesso a todos os subdomínios do CloudFront, incluindo aqueles que estão sendo utilizados em campanhas ativas de malware.

Isso equivale a desativar completamente a proteção do RPZ diante de um dos vetores de entrega mais comuns usados por ameaças modernas.

Casos reais de detecção de malware no CloudFront

A seguir estão listados subdomínios de cloudfront.net utilizados em campanhas maliciosas recentes. Cada entrada inclui um link direto para sua análise no VirusTotal, permitindo que o leitor verifique a evidência por conta própria.

Data

Subdomínio

Evidência no VirusTotal

2025-02-12

d2j09jsarr75l2.cloudfront.net

SocGholish (TA569)

2025-06-19

dxzdq7un7c7hs.cloudfront.net

ThreatFox C2

2025-06-19

d3hg0xriyu9bjh.cloudfront.net

ThreatFox C2

2025-06-27

dyydej4wei7fq.cloudfront.net

APT OneClik Campaign

2025-06-27

dzxwmpi8xepml.cloudfront.net

APT OneClik Campaign

2025-07-13

d2kb7e4l5uwdes.cloudfront.net

Cobalt Strike

2025-07-13

d3ayy3ulepm5xz.cloudfront.net

Cobalt Strike

2025-07-13

dm2sy2pi4jasa.cloudfront.net

Cobalt Strike

2025-07-13

d11vxzkgntd3fu.cloudfront.net

Cobalt Strike

2025-07-15

d3ser9acyt7cdp.cloudfront.net

CrypticSilverFish

Recomendações operacionais

  1. Não aplicar regras de whitelisting a ``*.cloudfront.net``. Permitir somente subdomínios específicos, após verificação manual ou por reputação.

  2. Correlacionar subdomínios com fontes de inteligência, como VirusTotal, ThreatFox ou feeds internos.

  3. Monitorar logs de resoluções DNS em busca de novos subdomínios sob cloudfront.net para análise e possível inclusão no RPZ.

  4. Educar a equipe de segurança sobre os riscos de fazer exceções genéricas a domínios de grandes provedores como Amazon, Google, Microsoft etc.

Aviso

Uma única exceção mal aplicada (como *.cloudfront.net) pode neutralizar completamente a efetividade de um sistema RPZ, permitindo campanhas maliciosas sob domínios com aparente legitimidade.