Cuidados al utilizar whitelisting en `cloudfront.net`
======================================================
Amazon CloudFront es un servicio de *Content Delivery Network (CDN)* utilizado legítimamente por miles de empresas para distribuir contenido web de forma rápida y escalable. Este servicio opera bajo el dominio principal ``cloudfront.net``, utilizando subdominios únicos como ``d123abc456def.cloudfront.net`` para cada distribución.
Sin embargo, CloudFront también es frecuentemente utilizado por actores maliciosos para alojar y distribuir:
- Malware
- Campañas de phishing
- Payloads de herramientas post-explotación como *Cobalt Strike*
Esto es posible debido a la facilidad con la que un atacante puede configurar su propia distribución de CloudFront para ocultar su infraestructura maliciosa detrás de un dominio legítimo.
No hacer ``whitelisting`` de ``*.cloudfront.net``
--------------------------------------------------
Incluir una excepción como ``*.cloudfront.net`` en una política RPZ es extremadamente riesgoso. Este tipo de regla permitirá el acceso a **todos los subdominios** de CloudFront, incluyendo aquellos que se utilizan actualmente en campañas activas de malware.
Esto equivale a desactivar completamente la protección RPZ frente a uno de los vectores de entrega más comunes utilizados por amenazas modernas.
Casos reales de detección de malware en CloudFront
--------------------------------------------------
A continuación se listan subdominios de ``cloudfront.net`` utilizados en campañas maliciosas recientes. Cada entrada incluye un enlace directo a su análisis en `VirusTotal `_, lo que permite al lector verificar por sí mismo la evidencia.
.. list-table::
:header-rows: 1
:widths: 15 40 45
* - Fecha
- Subdominio
- Evidencia en VirusTotal
* - 2025-02-12
- ``d2j09jsarr75l2.cloudfront.net``
- `SocGholish (TA569) `_
* - 2025-06-19
- ``dxzdq7un7c7hs.cloudfront.net``
- `ThreatFox C2 `_
* - 2025-06-19
- ``d3hg0xriyu9bjh.cloudfront.net``
- `ThreatFox C2 `_
* - 2025-06-27
- ``dyydej4wei7fq.cloudfront.net``
- `APT OneClik Campaign `_
* - 2025-06-27
- ``dzxwmpi8xepml.cloudfront.net``
- `APT OneClik Campaign `_
* - 2025-07-13
- ``d2kb7e4l5uwdes.cloudfront.net``
- `Cobalt Strike `_
* - 2025-07-13
- ``d3ayy3ulepm5xz.cloudfront.net``
- `Cobalt Strike `_
* - 2025-07-13
- ``dm2sy2pi4jasa.cloudfront.net``
- `Cobalt Strike `_
* - 2025-07-13
- ``d11vxzkgntd3fu.cloudfront.net``
- `Cobalt Strike `_
* - 2025-07-15
- ``d3ser9acyt7cdp.cloudfront.net``
- `CrypticSilverFish `_
Recomendaciones operativas
--------------------------
#. **No aplicar reglas de whitelisting a ``*.cloudfront.net``**. Permitir únicamente subdominios específicos, tras verificación manual o por reputación.
#. **Correlacionar subdominios con fuentes de inteligencia**, como `VirusTotal `_, `ThreatFox `_ o feeds internos.
#. **Monitorear logs de resoluciones DNS** en busca de nuevos subdominios bajo ``cloudfront.net`` para su análisis y eventual inclusión en RPZ.
#. **Educar al equipo de seguridad** sobre los riesgos de hacer excepciones genéricas a dominios de grandes proveedores como Amazon, Google, Microsoft, etc.
.. warning::
Una sola excepción mal aplicada (como ``*.cloudfront.net``) puede neutralizar completamente la efectividad de un sistema RPZ, permitiendo campañas maliciosas bajo dominios con aparente legitimidad.