Cuidados al utilizar whitelisting en cloudfront.net

Amazon CloudFront es un servicio de Content Delivery Network (CDN) utilizado legítimamente por miles de empresas para distribuir contenido web de forma rápida y escalable. Este servicio opera bajo el dominio principal cloudfront.net, utilizando subdominios únicos como d123abc456def.cloudfront.net para cada distribución.

Sin embargo, CloudFront también es frecuentemente utilizado por actores maliciosos para alojar y distribuir:

  • Malware

  • Campañas de phishing

  • Payloads de herramientas post-explotación como Cobalt Strike

Esto es posible debido a la facilidad con la que un atacante puede configurar su propia distribución de CloudFront para ocultar su infraestructura maliciosa detrás de un dominio legítimo.

No hacer whitelisting de *.cloudfront.net

Incluir una excepción como *.cloudfront.net en una política RPZ es extremadamente riesgoso. Este tipo de regla permitirá el acceso a todos los subdominios de CloudFront, incluyendo aquellos que se utilizan actualmente en campañas activas de malware.

Esto equivale a desactivar completamente la protección RPZ frente a uno de los vectores de entrega más comunes utilizados por amenazas modernas.

Casos reales de detección de malware en CloudFront

A continuación se listan subdominios de cloudfront.net utilizados en campañas maliciosas recientes. Cada entrada incluye un enlace directo a su análisis en VirusTotal, lo que permite al lector verificar por sí mismo la evidencia.

Fecha

Subdominio

Evidencia en VirusTotal

2025-02-12

d2j09jsarr75l2.cloudfront.net

SocGholish (TA569)

2025-06-19

dxzdq7un7c7hs.cloudfront.net

ThreatFox C2

2025-06-19

d3hg0xriyu9bjh.cloudfront.net

ThreatFox C2

2025-06-27

dyydej4wei7fq.cloudfront.net

APT OneClik Campaign

2025-06-27

dzxwmpi8xepml.cloudfront.net

APT OneClik Campaign

2025-07-13

d2kb7e4l5uwdes.cloudfront.net

Cobalt Strike

2025-07-13

d3ayy3ulepm5xz.cloudfront.net

Cobalt Strike

2025-07-13

dm2sy2pi4jasa.cloudfront.net

Cobalt Strike

2025-07-13

d11vxzkgntd3fu.cloudfront.net

Cobalt Strike

2025-07-15

d3ser9acyt7cdp.cloudfront.net

CrypticSilverFish

Recomendaciones operativas

  1. No aplicar reglas de whitelisting a ``*.cloudfront.net``. Permitir únicamente subdominios específicos, tras verificación manual o por reputación.

  2. Correlacionar subdominios con fuentes de inteligencia, como VirusTotal, ThreatFox o feeds internos.

  3. Monitorear logs de resoluciones DNS en busca de nuevos subdominios bajo cloudfront.net para su análisis y eventual inclusión en RPZ.

  4. Educar al equipo de seguridad sobre los riesgos de hacer excepciones genéricas a dominios de grandes proveedores como Amazon, Google, Microsoft, etc.

Advertencia

Una sola excepción mal aplicada (como *.cloudfront.net) puede neutralizar completamente la efectividad de un sistema RPZ, permitiendo campañas maliciosas bajo dominios con aparente legitimidad.