Cloud Security

Orca Security Research Pod analysiert die Cloud-Sicherheit im Unternehmen

, München, Orca Security | Autor: Herbert Wieler

Orca Security Research Pod analysiert die Cloud-Sicherheit im Unternehmen

Datenanalyse und Auswertung häufiger Malware-Bedrohungen

Da immer mehr Unternehmen ihre Ressourcen in die Cloud verlagern, richten auch Malware-Verbreiter ihre Aufmerksamkeit auf die Cloud. Der Orca Security Research Pod sammelt Daten über häufige Malware-Bedrohungen in der Cloud und gibt Aufschlüsse darüber, wie Unternehmen diese erkennen, abmildern und vermeiden können.

Wie findet Malware ihren Weg in Cloud-Ressourcen?

In der On-Premises-Welt basieren die Hauptinfektionsvektoren auf benutzerbezogenen Aktionen, zum Beispiel durch gefährliche Anhänge von E-Mails, gefährlichen Links in E-Mails oder Downloads von halblegalen Websites. In der Cloud-Welt verhält es sich ein wenig anders: Angreifer suchen nach einer anderen Art von unsicherem „Benutzer“-Verhalten – nicht gewartete Assets und gefährlich konfigurierte Konten. Die Nutzer sind hier die Eigentümer der Cloud.

Die häufigsten Angriffsvektoren in der Cloud beruhen nach Erfahrung von Orca Security auf der Suche nach Assets mit einfacher Authentifizierung (schwache oder durchgesickerte Passwörter), ausnutzbaren Schwachstellen und riskanter Exposition gegenüber dem Internet. Wie von der CISA veröffentlicht, waren die meistgenutzten Infektionsvektoren im Jahr 2021 gestohlene RDP-Zugangsdaten, Brute-Force-Angriffe und die Ausnutzung von Schwachstellen. Der anfängliche Angriffsvektor muss nicht unbedingt ein internetfähiges System sein. Angreifer können zunächst Fuß fassen, sich dann seitlich im Cloud-Konto bewegen und Malware an einem tieferen strategischen Ort installieren.

Linux-Malware

Die Flexibilität, Agilität und Skalierbarkeit, die Unix-ähnliche Maschinen bieten, macht sie Cloud-nativ. Viele von Cloud-Anbietern angebotene PaaS-Lösungen laufen standardmäßig auf Linux-Distributionen. Daten von Orca Security zufolge laufen fast 98 Prozent der Cloud-Assets, die Orca scannt, auf Unix-ähnlichen Betriebssystemen. Dies macht jede Art von Linux-Malware für die meisten Cloud-Ressourcen relevant. Einige Bedrohungen suchen jedoch gezielt nach anfälligen oder verfügbaren Linux-Rechnern in der Cloud.

Die Ausweitung von Malware auf Linux-Systeme: Viele Unternehmen entscheiden sich für ein hybrides Modell der Cloud-Nutzung. Das bedeutet, dass ein Unternehmen möglicherweise nur einen Teil seines Netzwerks in der Cloud hat; der Rest befindet sich vor Ort. Angreifer haben keine Möglichkeit ausgelassen, ihren Einfluss auf solche Netzwerke zu maximieren. Aus diesem Grund haben viele Malware-Familien zusätzliche Linux-Funktionen entwickelt, die sie in die Lage versetzen, sich seitlich in Hybrid-Cloud-Umgebungen zu bewegen.

Das sind die häufigsten Malware-Typen, denen Unternehmen in ihrer Cloud begegnen können:

Linux-basiertes Vermilion Strike

Cobalt Strike ist ein kommerzielles Tool, das sowohl von Pen-Testern als auch von Angreifern verwendet wird. Das Tool ist bekannt für seine vielfältigen Fähigkeiten wie Port-Scanning, Privilegienerweiterung, Fernzugriff und mehr. Viele der bekanntesten Malware-Familien im Jahr 2021 verwenden die Nutzlast dieses Tools namens „Beacon“ als zweites Infektions-Tool, um auf verschiedene Weise weitere Daten von dem infizierten Rechner zu sammeln, Daten zu exfiltrieren und sogar Ransomware einzusetzen. Das Problem bei Cobalt Strike ist jedoch, dass es sich um eine reine Windows-Software handelt. An dieser Stelle kommt sein Linux-Geschwisterchen ins Spiel: Vermilion Strike. Vermilion Strike ist eine Neuimplementierung des Beacon-Tools von Cobalt Strike für Linux-Rechner. Dies erweitert die Möglichkeiten von Angreifern, in einer hybriden Umgebung auf vielseitige Weise aus der Ferne zu agieren.

TrickBot

Obwohl es in den letzten Monaten relativ ruhig war, ist dieser modulare Trojaner für seine große Verbreitung bekannt. Sein Hauptinfektionsvektor sind bösartige E-Mail-Anhänge und laterale Bewegungen in Netzwerken. Letztes Jahr führte TrickBot ein neues Modul ein, das nicht nur Windows-, sondern auch Linux-Rechner infizieren kann, was ihm eine bessere laterale Bewegung in einer hybriden Umgebung ermöglicht.

Remote Access Tools

RATs sind bei Angreifern sehr beliebt, um mehr Informationen von einem infizierten Rechner zu erhalten. Viele bekannte RATs wie Netwire sind plattformübergreifend, aber es gibt auch spezielle RATs für Linux-Rechner, zum Beispiel CronRAT, das sich in einem Linux Cron-Job versteckt. Darüber hinaus können Angreifer bekannte Open-Source-Tools wie Pupy und n00bRAT verwenden, die auch mit Unix-ähnlichen Systemen kompatibel sind.

Mirai

Man kann nicht über Unix-ähnliche Bedrohungen sprechen, ohne Mirai zu erwähnen. Dieses Botnet ist die Ursprungsform vieler Bedrohungen, die auf anfällige Linux-Dienste abzielen. Seit der Veröffentlichung des Quellcodes von Mirai haben viele Angreifer Mutationen dieser Malware erstellt, die Millionen von Assets betreffen. Alle Mirai-ähnlichen Schadprogramme beginnen ihre Angriffe mit dem Scannen nach anfälligen, dem Internet zugewandten Rechnern. Ein anfälliges Gerät kann ausnutzbare Schwachstellen in Protokollen, Betriebssystemen oder Diensten aufweisen oder einfach nur ein Asset mit einem schwachen/leckenden Passwort sein. Die meisten DDoS-Linux-Malware-Codes sind Abwandlungen von Mirai, z. B. SORA.

Backdoors

Angreifer vernachlässigen nicht die Möglichkeit, auch auf Linux-Systemen eine Backdoor einzusetzen. So versteckte sich beispielsweise die RedXOR-Malware, die letztes Jahr von Intezer aufgedeckt wurde, in einem gefälschten Linux Polkit-Daemon.

Cloud-Ransomware

Ransomware in der Cloud ist bereits ein alltägliches Phänomen. Laut US-Cert wurde im Jahr 2021 ein deutlicher Anstieg von Ransomware-Angriffen beobachtet – und viele dieser Angriffe zielten auf Cloud-Ressourcen ab. Wie eingangs erwähnt, müssen Malware-Angriffe im Allgemeinen nicht von dem im Internet exponierten Asset ausgehen. Bei Ransomware ist dies sogar noch relevanter, da der Angreifer zuerst die „Kronjuwelen“ identifizieren möchte, um den größten Schaden anzurichten.

In den letzten Jahren wurden viele große Ransomware-Infektionen in Cloud-Infrastrukturen bekannt. Das größte und jüngste Beispiel sind die Beiträge über Colonial Pipelines, bei denen die Treibstoffversorgung in den USA unterbrochen wurde. Die Unternehmensdaten wurden von DarkSide verschlüsselt, die zu den stärksten verfügbaren Ransomwares aus dem RaaS (Ransomware as a Service)-Portfolio gehört. Diese RaaS arbeitet mit einer „doppelten Erpressungsmethode“. Das Lösegeld wird also nicht nur für die Freigabe der verschlüsselten Dateien auf dem Konto gezahlt, sondern auch als Lösegeld an die Angreifer, damit diese die exfiltrierten Daten nicht veröffentlichen. Diese Ransomware verschafft sich Zugang zu Konten durch RDP-Brute-Force-Angriffe und Ausnutzung bekannter Schwachstellen.

Eine weitere bekannte Ransomware-Gruppe, von der angenommen wird, dass sie mit DarkSide in Verbindung steht, ist REvil. Bis zur Verhaftung der Mitglieder dieser Gruppe im Januar dieses Jahres war sie die produktivste Ransomware-Gruppe. Die Gruppe war an vielen bekannten Angriffen beteiligt, z. B. auf die Lieferkette von Apple und sogar an der Erpressung von US-amerikanischen Prominenten wie Madonna und Lady Gaga.

Der relativ neue dominante Akteur auf dem Gebiet der Ransomware ist LockBit, das nach der Zerschlagung der REvil-Gruppe und dem Code-Leck von Conti immer mehr Aufmerksamkeit erregt. Diese RaaS hat angeblich die schnellste Verschlüsselung auf dem Markt. Als ursprünglicher Zugangsvektor dienen Brute-Force-Angriffe und sozial manipulierte Phishing-Nachrichten. Im Oktober letzten Jahres haben die Betreiber eine neue Version veröffentlicht, die Linux und VMware ESXI-Hypervisoren infiziert und viele Linux-Cloud-Ressourcen angreifen kann. Das bisher größte Opfer dieser Ransomware ist Accenture. Im August 2021 forderte ein Angreifer Berichten zufolge 50 Millionen US-Dollar für sechs TB Daten.

Cryptomining-Malware

Eines der wichtigsten Merkmale der Cloud ist die Möglichkeit, Rechenressourcen (CPU und GPU) nach Bedarf zu nutzen. Natürlich haben Angreifer einen Weg gefunden, dies zu missbrauchen. Cryptominer sind zur beliebtesten Malware geworden, die in Cloud-Ressourcen eingesetzt wird. Nach Angaben von Google waren 86 Prozent der infizierten Assets, die von Google analysiert wurden, mit einem Cryptominer infiziert.

Die häufigste Kryptowährung, die in der Cloud geschürft wird, ist Monero (XMR). Laut VMware stehen 89 Prozent der Angriffe auf Kryptowährungen im Zusammenhang mit XMRig und XMRig-Open-Source-Bibliotheken. Monero wird aufgrund des stabilen Währungswertes, der einfachen Bereitstellung von Minern, der sehr schwierigen Rückverfolgung und der Tatsache ausgewählt, dass diese Kryptowährung im Vergleich zu Bitcoin keine spezielle Hardware für das Mining benötigt. Cryptominer missbrauchen die CPU-Zyklen von rechenintensiven Cloud-Komponenten wie Containern und Orchestrators, aber auch von normalen VMs. Sie können manuell von einem Angreifer eingesetzt werden, der sich Zugang zu einer entsprechenden Maschine verschafft hat, oder durch eine spezielle Malware.

Container-Malware, die darauf abzielt, Cryptominer zu installieren, wird in letzter Zeit immer häufiger veröffentlicht. Kinsing zum Beispiel ist eine Malware mit Rootkit-Fähigkeiten, die seit mehr als zwei Jahren aktiv ist. Die Malware beginnt ihren Angriff mit dem Scannen nach offenen Docker-Containern, Kubernetes-Orchestrators und anderen Containern. Danach setzt sie mit einem Brute-Force-Angriff fort. Die Malware wird regelmäßig aktualisiert, um mehr Ausdauer und Versteckmöglichkeiten zu erhalten. Um Spuren dieser Malware zu finden, können Administratoren nach Änderungen in Dateien mit dem Namen „xmrig“ oder „kinsing“, der Kommunikation mit URLs, die den Namen „kinsing“ enthalten, und dem Zugriff auf Systemverzeichnisse im Zusammenhang mit der CPU suchen.

Ein weiteres Beispiel für eine solche Malware ist Siloscape, die Kubernetes-Cluster angreift, indem sie verwundbare öffentliche Windows-Container ausnutzt. Die Malware schafft eine Hintertür für Cryptomining, ist aber auch in der Lage, weitaus umfassendere Aktionen wie Informationsdiebstahl durchzuführen.

Datenbank-Malware

Es gibt viele Möglichkeiten, schädlichen Code in einer Datenbank zu implementieren. Alles, was ein Angreifer braucht, ist ein Remote-Desktop-System (RDS) mit einer Sicherheitslücke, z. B. einer Schwachstelle oder einer Fehlkonfiguration, und schon kann ein Angriff durchgeführt werden. Angreifer durchsuchen das Internet ständig nach Datenbanken. Wenn sie eine gefunden haben, kann es nur noch eine Frage von Stunden sein, bis ein Angriff erfolgen kann.

Es gibt viele Veröffentlichungen über Datenbankangriffe und -verletzungen. Kürzlich fanden Forscher heraus, dass Angreifer Beacon von Cobalt Strikes nutzen, um die Kontrolle über MS SQL-Server zu erlangen. Dadurch können Angreifer alle zuvor erwähnten Angriffe wie Krypto-Mining, Ransomware und sogar Datenexfiltration durchführen.

APT

APT-Akteure (Advanced Persistent Threat) haben sich die Chance, an der Cloud-Party teilzunehmen, nicht entgehen lassen. Das stärkste Beispiel ist Team TNT, die erste Cloud-native APT-Gruppe. Diese Gruppe spricht „Cloudish“. Sie ist dafür bekannt, dass sie Cloud-Assets ausnutzt und sich seitlich in Konten bewegt, um AWS-Zugangsdaten zu sammeln, Datenexfiltration durchzuführen und Smart Crypto Miners einzusetzen. Sie sucht nach dem Pfad „/.aws/credentials“ und auch nach den Metadaten (169.254.169.254) jedes Rechners, den sie erreicht. Wenn die Zugangsdaten dort vorhanden sind, können sie gestohlen und für laterale Bewegungen verwendet werden.

Fazit

Cloud-Assets und sogar ganze Cloud-Konten können einer Malware-Infektion ausgesetzt sein. Die Schwachstellen, nach denen Angreifer in der Cloud-Welt suchen, sind schwache Passwörter oder Authentifizierung und ausnutzbare Schwachstellen in Cloud-Assets. Diese könnten zu Cryptomining führen, das die CPU-Zyklen ausnutzt und Datenverletzungen oder sogar Ransomware-Angriffe ermöglicht.

Wie können sich Unternehmen vor diesen Bedrohungen schützen?

Um Malware in der Cloud-Umgebung zu vermeiden, müssen Unternehmen nach Meinung von Orca Security drei grundlegende Prinzipien beachten. Das erste ist die Exposition gegenüber dem Internet: Malware in der Cloud kommt meist von externen Angreifern. Die dem Internet ausgesetzten Ressourcen sind der Einstiegspunkt. Es gilt sicherzustellen, nur solche Daten offenzulegen, die unbedingt offengelegt werden müssen, und die Geheimnisse gesichert und vor dem öffentlichen Zugriff geschützt zu halten. Der nächste Schritt besteht darin, sicherzustellen, dass alle Cloud-Ressourcen ordnungsgemäß gesichert und gepatcht sind. Angreifer scannen ständig nach Assets, die mit dem Internet verbunden sind, und schwache Passwörter oder Schwachstellen erleichtern ihnen das Eindringen. Last but not least – ist das Prinzip der geringsten Privilegien einzuhalten und sicherzustellen, dass jede Rolle und jedes Asset nur das tun darf, was sie sollen, was laterale Bewegungen erschwert.

Eine moderne Cloud Security-Plattform bietet zahlreiche Funktionen zur Erkennung und Identifizierung von Fehlkonfigurationen, Schwachstellen und Risiken Cloud-Umgebungen:

  1. Scannen und Identifizieren von Malware: eine vollständige Malware-Erkennung in allen Cloud-Assets über alle Clouds hinweg.
  2. Coinminer-Indikator im Shell-Verlauf: Dieser Alarm zeigt alle verdächtigen Befehle im Shell-Verlauf an, die auf Miner-Aktivitäten zurückzuführen sind.
  3. Warnung bei Brute-Force-Versuchen: Viele Malware-Infektionen in der Cloud beginnen mit einem Brute-Force-Angriff. Sie gibt einen Hinweis auf ein solches Ereignis. Wenn diese Warnung angezeigt wird, empfiehlt es sich, das betreffende Asset zu überprüfen, um sicherzustellen, dass es nicht kompromittiert wurde.
  4. Schwachstellen-Scanning und Risikopriorisierung: Sie scannt alle Assets auf Schwachstellen und priorisiert die kritischsten Assets und Schwachstellen.