Attacken auf Linux-Server

Malware für Linux Crypto Mining trickst Cloud-Sicherheitslösungen aus

17.01.2019, München/Wien/Zürich, Palo Alto Networks | Autor: Herbert Wieler

Malware-Familie nimmt Cloud-Sicherheitsprodukte ins Visier

Palo Alto Networks, hat neue Stichproben der von der Rocke-Gruppe verwendeten Malware für Linux-Coin-Mining erfasst und untersucht. Die Malware-Familie stand im Verdacht, von der Iron Cybercrime Group entwickelt zu sein, und sie steht auch im Zusammenhang mit der Xbash-Malware, über die Palo Alto Networks vergangenen Monat berichtet hatte .

In der neuen Analyse kommen die Experten für Cybersicherheit zu dem Ergebnis, dass die von der Rocke-Gruppe verwendeten Samples einen neuen Code zur Deinstallation von fünf verschiedenen Cloud-Sicherheits- und Überwachungslösungen von kompromittierten Linux-Servern einsetzen. Die Angreifer zielten jedoch nicht auf die Sicherheitslösungen ab und kompromittierten diese auch nicht: Vielmehr erlangten sie zunächst die volle administrative Kontrolle über die Hosts und missbrauchten sie dann, um die Software wie ein legitimer Administrator zu deinstallieren.

Cloud-Sicherheitslösungen im Visier

Die betroffenen Sicherheitslösungen wurden von Tencent Cloud und Alibaba Cloud (Aliyun) entwickelt, den beiden führenden Cloud-Anbietern in China, die ihr Geschäft weltweit ausbauen. Den Ermittlungen von Palo Alto Networks zufolge ist dies die erste Malware-Familie, die die einzigartige Fähigkeit entwickelt hat, Cloud-Sicherheitsprodukte gezielt ins Visier zunehmen und zu entfernen. Dies zeigt auch eine neue Herausforderung für Produkte im von Gartner definierten Markt für Cloud-Workload-Protection-Plattformen.

Laut Gartner sind Cloud-Workload-Protection-Plattformen (CWPP) agentenbasierte, Workload-zentrierte Sicherheitslösungen. Um die Auswirkungen von Cybereindringlingen in der Public-Cloud-Infrastruktur zu minimieren, entwickeln Cloud-Service-Provider ihre eigenen CWPPs als Produkte für den Betrieb und die Verwaltung der Serversicherheit. Tencent Cloud bietet beispielsweise Tencent Host Security mit verschiedenen Sicherheitsschutzdiensten an, und Alibaba Cloud (Aliyun) ein Cloud-Sicherheitsprodukt namens Threat Detection Service. Cybersicherheitsfirmen von Drittanbietern offerieren ebenfalls CWPPs. So verfügen beispielsweise Trend Micro, Symantec und Microsoft über eigene Cloud-Sicherheitsprodukte für die Public-Cloud-Infrastruktur. Wie bei allen Sicherheitsprodukten arbeiten die Gegner unermüdlich daran, diese Systeme zu umgehen, um ihre eigentlichen Ziele erreichen zu können.

Angreifer wollen Erkennung durch Cloud-Workload-Protection-Plattformen verhindern

Als Reaktion auf agentenbasierte Cloud-Workload-Protection-Plattformen von Cloud-Service-Providern entwickelte die von der Rocke-Gruppe eingesetzte Malware allmählich die Fähigkeit, der Erkennung zu entgehen, bevor böswilliges Verhalten sichtbar wird. Hierzu deinstalliert die Malware die Cloud-Sicherheitsprodukte von Alibaba Cloud und Tencent Cloud.

Die Akteure folgen dabei den Deinstallationsverfahren von Alibaba Cloud und Tencent Cloud sowie den Anleitungen entsprechender Blogposts im Internet. Erst nachdem die Cloud-Sicherheits- und Überwachungsprodukte deinstalliert sind, beginnt die Malware, offensichtliches bösartiges Verhalten aufzuzeigen. Die Forscher von Unit 42 gehen davon aus, dass dieses einzigartige Ausweichverhalten der neue Trend für Malware sein wird, die auf Public-Cloud-Infrastruktur abzielt.

Schlussfolgerungen und Maßnahmen

Die Public-Cloud-Infrastruktur ist eines der Hauptziele der Cyberkriminalität. Da die bestehenden Cloud-Überwachungs- und Sicherheitslösungen mögliche Malware-Vorfälle erkennen können, entwickeln Malware-Autoren weiterhin neue Ausweichtechniken, um eine Erkennung zu vermeiden. Die neueste Variante der von der Rocke-Gruppe verwendeten Malware ist ein Beispiel dafür, dass eine agentenbasierte Cloud-Sicherheitslösung möglicherweise nicht ausreicht, um evasive Malware in der Public-Cloud-Infrastruktur zu verhindern.