Riesgos de whitelisting con comodines en servicios de nube pública

Como complemento ao documento existente sobre cloudfront.net, esta seção detalha outros domínios base utilizados por provedores de nuvem que permitem a criação dinâmica de subdomínios por milhões de usuários.

Aplicar listas brancas amplas sobre esses sufixos (por exemplo, *.s3.amazonaws.com ou *.windows.net) implica permitir tráfego para conteúdo não verificado, incluindo instâncias ativas de malware, phishing e campanhas de distribuição de C2 (comando e controle).

Aviso

Domínios base de risco (não devem ser incluídos com curingas)

Sufixos comuns de serviços em nuvem

Sufixo

Provedor ou serviço

cloudfront.net

Amazon CloudFront (CDN)

s3.amazonaws.com

Amazon S3 (armazenamento de objetos)

s3-<region>.amazonaws.com

Amazon S3 com localização regional

storage.googleapis.com

Google Cloud Storage

firebaseio.com

Google Firebase Realtime DB / Hosting

appspot.com

Aplicações Google App Engine

blob.core.windows.net

Microsoft Azure Blob Storage

web.core.windows.net

Hospedagem de sites estáticos da Azure

azureedge.net

Azure CDN

digitaloceanspaces.com

DigitalOcean Spaces

cdn.digitaloceanspaces.com

Ponto final do CDN da DigitalOcean

github.io

GitHub Pages

netlify.app

Aplicações Netlify

vercel.app

Aplicações Vercel

Exemplos reais de abuso no DigitalOcean Spaces

Subdomínios maliciosos no DigitalOcean Spaces detectados pelo VirusTotal

Subdomínio

Link para análise no VirusTotal

Família / ameaça

ben-advanced.fra1.digitaloceanspaces.com

https://www.virustotal.com/gui/url/05a1932e23262fa3d2f692491f81ab23067358b731bdda3cd71c717e9327acb2

malware

filekg-download-01.fra1.cdn.digitaloceanspaces.com

https://www.virustotal.com/gui/url/c091d0cb5d78862ee3dc94d04cf21d57b7abfa3d341296a8881ca62b4ec6a39f

SmokeLoader

downcheck.nyc3.cdn.digitaloceanspaces.com

https://www.virustotal.com/gui/url/2c40ac5b67be2e48b23f62da2f2f52684d973b64b3e4c57d04dd0534564030b6

Lumma Stealer
Algunos subdominios pueden albergar contenido malicioso temporalmente y luego volver a un estado “limpio”. Esto puede deberse a:

  • Remoção de conteúdo malicioso após denúncia

  • Rotação de recursos por agentes maliciosos

  • Reutilização de buckets públicos por diferentes usuários

A existência de falsos negativos ou de análises “limpas” posteriores não invalida a evidência de uso malicioso. Justificar o uso de curingas em domínios como *.digitaloceanspaces.com com base em “não está mais no VirusTotal” é equivalente a confiar em um atacante que apenas apagou seus rastros após executar a campanha.

Recomendações

  • Nunca aplicar listas brancas com * em nenhum dos sufixos listados.

  • Analisar individualmente cada subdomínio que precise ser excluído do RPZ.

  • Automatizar validações com ferramentas como VirusTotal, URLhaus ou feeds de Threat Intelligence.

  • Registrar data e evidência de cada exceção para futuras auditorias.