Die größten Bedrohungen für Cloud-Systeme

Nach den Erfahrungen des Security-Anbieters Orca nutzen Hacker in der Regel schwache Authentifizierungsmethoden oder Sicherheitslücken in bestimmten Assets aus, um Cloud-Infrastrukturen anzugreifen. Laut einer Analyse der US-Sicherheitsbehörde CISA (Cybersecurity and Infrastructure Security Agency) waren die meistgenutzten Infektionsvektoren im Jahr 2021 gestohlene Zugangsdaten zu Remote-Desktop-Umgebungen, Brute-Force-Angriffe und die Ausnutzung von Schwachstellen.

"Der anfängliche Angriffsvektor muss nicht unbedingt ein Internet-fähiges System sein. Angreifer können zunächst Fuß fassen, sich dann seitlich im Cloud-Konto bewegen und schließlich Malware an einem strategisch günstigen Ort installieren", erklärt das Orca-Research-Team.

Die Sicherheitsexperten haben folgende Cloud-Bedrohungen identifiziert:

Linux-Malware

Viele von Cloud-Anbietern angebotene PaaS-Lösungen (Plattform as a Service) laufen standardmäßig auf Linux-Distributionen. Orca-Daten zufolge sind fast 98 Prozent der Cloud-Assets auf Unix-ähnlichen Betriebssystemen installiert. Deshalb sei jede Art von Linux-Malware für die meisten Cloud-Ressourcen gefährlich, warnen die Security-Experten. Zudem würden einige Akteure gezielt nach anfälligen Linux-Rechnern in der Cloud suchen.

Die Ausweitung von Malware auf Linux-Systeme: Viele Unternehmen entscheiden sich für ein hybrides Modell der Cloud-Nutzung. Das bedeutet, dass sie nur einen Teil ihrer Infrastruktur in der Cloud haben, der Rest befindet sich vor Ort. "Angreifer lassen keine Möglichkeit aus, solche Netzwerke zu attackieren. Aus diesem Grund enthalten heute viele Malware-Familien zusätzliche Linux-Funktionen, die sie in die Lage versetzen, sich seitlich in Hybrid-Cloud-Umgebungen zu bewegen", betonen die Orca-Experten.

Das sind die häufigsten Linux-Malware-Varianten, die für Cloud-Umgebungen gefährlich sind:

• Vermilion Strike: Ein kommerzielles Tool, das sowohl von Pen-Testern als auch von Angreifern verwendet wird, ist Cobalt Strike. Die Anwendung ist unter anderem bekannt für ihre vielfältigen Funktionen wie Port-Scanning, Privilegien-Erweiterung und Fernzugriff. Viele der bekannten Malware-Familien haben im vergangenen Jahr die Payload von Cobalt Strike als zweite Infektionsmöglichkeit genutzt, um weitere Daten von infizierten Rechnern zu sammeln, Daten zu exfiltrieren und sogar Ransomware einzusetzen. Das Problem bei Cobalt Strike ist jedoch, dass es sich um eine reine Windows-Software handelt. An dieser Stelle kommt sein Linux-Geschwisterchen ins Spiel: Vermilion Strike. Dabei handelt es sich um eine Neuimplementierung des Beacon-Tools von Cobalt Strike für Linux-Rechner. Damit können Angreifer in einer hybriden Umgebung auf vielseitige Weise aus der Ferne agieren.

• TrickBot: Obwohl es in den vergangenen Monaten relativ ruhig um den Trojaner war, ist er für seine große Verbreitung bekannt. Sein Hauptinfektionsvektor sind bösartige E-Mail-Anhänge und laterale Bewegungen in Netzwerken. 2021 führte TrickBot ein neues Modul ein, das nicht nur Windows-, sondern auch Linux-Rechner infizieren kann, was ihm zu einer höheren Durchschlagskraft in hybriden Umgebungen verhilft.

• Remote Access Tools: RATs sind bei Angreifern sehr beliebt, um mehr Informationen von infizierten Rechnern zu erhalten. Viele bekannte RATs wie Netwire sind plattformübergreifend einsetzbar. Aber es gibt auch spezielle RATs für Linux-Rechner, zum Beispiel CronRAT, das sich in einem Linux-Cronjob versteckt. Darüber hinaus können Angreifer bekannte Open-Source-Tools wie Pupy und n00bRAT verwenden, die auch mit Unix-ähnlichen Systemen kompatibel sind.

• Mirai: Dieses Botnet ist der Ursprung vieler Bedrohungen, die auf anfällige Linux-Dienste abzielen. Seit der Veröffentlichung des Quellcodes von Mirai haben viele Angreifer Mutationen dieser Malware erstellt, die Millionen von Assets betreffen. Alle Mirai-ähnlichen Schadprogramme beginnen ihre Angriffe mit dem Scannen nach anfälligen, dem Internet zugewandten Rechnern. Solche Devices können ausnutzbare Schwachstellen in Protokollen, Betriebssystemen oder Diensten aufweisen oder einfach nur ein Asset mit einem schwachen Passwort sein. Die meisten DDoS-Linux-Malware-Codes sind Abwandlungen von Mirai, zum Beispiel SORA.

• Backdoors: Angreifer nutzen auch die Möglichkeit, auf Linux-Systemen Backdoors einzusetzen. So versteckte sich beispielsweise die RedXOR-Malware, die im vergangenen Jahr von Intezer aufgedeckt wurde, in einem gefälschten Linux Polkit-Daemon.

Cloud-Ransomware

Ransomware-Angriffe auf Cloud-Ressourcen sind nicht mehr neu. Das US Computer Emergency Readiness Team (US-Cert) beobachtete im Jahr 2021 einen deutlichen Anstieg solcher Attacken auf Cloud-Dienste. Das größte und jüngste Beispiel ist der Angriff auf Colonial Pipeline, dessen Treibstoffversorgung in den USA temporär lahmgelegt worden war.

Die Unternehmensdaten wurden von DarkSide verschlüsselt, das zu den stärksten verfügbaren Lösungen aus dem Ransomware-as-a-Service-(RaaS)-Repertoire gehört. Diese RaaS arbeitet mit einer "doppelten Erpressungsmethode". Das Lösegeld wird also nicht nur für die Freigabe der verschlüsselten Dateien auf dem Konto gezahlt, sondern auch damit die Angreifer die erbeuteten Daten nicht veröffentlichen. Diese Ransomware verschafft sich Zugang zu Konten durch RDP-Brute-Force-Angriffe und das Ausnutzen bekannter Schwachstellen.

Eine weitere Ransomware-Gruppe, von der angenommen wird, dass sie mit DarkSide in Verbindung steht, ist die populäre REvil-Gang. Bis zur Verhaftung vieler Mitglieder Anfang des Jahres war sie die produktivste Ransomware-Gruppe. Die Bande war an vielen bekannten Angriffen beteiligt, zum Beispiel auf den IT-Dienstleiser Kaseya oder Apple.

Ein relativ neuer, aber schon dominant auftretender Akteur auf dem Gebiet der Ransomware ist LockBit, das nach der Zerschlagung der REvil-Gruppe und dem Code-Leak bei Conti immer mehr Aufmerksamkeit erregt. Diese RaaS hat angeblich die schnellste Verschlüsselungstechnik auf dem Markt. Als Zugangsvektor dienen Brute-Force-Angriffe und Phishing-Nachrichten. Im Oktober vergangenen Jahres haben die Drahtzieher eine neue Version veröffentlicht, die Linux und VMware-ESXI-Hypervisors infizieren und viele Linux-Cloud-Ressourcen angreifen kann. Das bisher größte Opfer dieser Ransomware soll Accenture sein. Berichten zufolge forderte ein Angreifer im August letzen Jahres 50 Millionen US-Dollar für sechs Terabyte Daten.

Cryptomining-Malware

Zu den großen Vorteilen von Cloud-Infrastruktur gehört, dass sich Rechenressourcen (CPU und GPU) nach Bedarf nutzen lassen. Cryptominer zählen zu den am häufigsten verwendeten Malware-Typen, die in Cloud-Ressourcen eingesetzt wird. Laut Google-Analysen waren 86 Prozent der infizierten Cloud-Instanzen mit einem Cryptominer infiziert.

Die häufigste Kryptowährung, die in der Cloud geschürft wird, ist Monero (XMR). Laut VMware stehen 89 Prozent der Angriffe auf Kryptowährungen im Zusammenhang mit XMRig und XMRig-Open-Source-Bibliotheken. Monero wird aufgrund der stabilen Währung, der einfachen Bereitstellung von Minern und der schwierigen Rückverfolgung oft favorisiert. Hinzu kommt, dass diese Kryptowährung im Vergleich zu Bitcoin keine spezielle Hardware für das Mining benötigt.

Cryptominer missbrauchen die CPU-Zyklen von rechenintensiven Cloud-Komponenten wie Containern und Orchestrators, aber auch von normalen VMs (virtuellen Maschinen). Sie können manuell von einem Angreifer eingesetzt werden, der sich Zugang verschafft hat, oder durch eine spezielle Malware.

Container-Malware, die darauf abzielt, Cryptominer zu installieren, kommt immer häufiger zum Einsatz. Kinsing zum Beispiel ist eine Malware mit Rootkit-Fähigkeiten, die seit mehr als zwei Jahren aktiv ist. Die Malware beginnt ihren Angriff mit dem Scannen nach offenen Docker-Containern, Kubernetes-Orchestratoren und anderen Containern. Danach setzt sie ihn mit einem Brute-Force-Angriff fort. Die Malware wird regelmäßig aktualisiert, um mehr Ausdauer und Versteckmöglichkeiten zu erhalten. Um Spuren dieser Malware zu finden, können Administratoren nach Änderungen in Dateien mit dem Namen "xmrig" oder "kinsing" suchen oder nach einer Kommunikation mit URLs, die "kinsing" enthalten.

Ein weiteres Beispiel für eine solche Malware ist Siloscape, die Kubernetes-Cluster angreift, indem sie verwundbare öffentliche Windows-Container ausnutzt. Die Malware schafft eine Hintertür für Cryptomining, ist aber auch in der Lage, weitaus umfassendere Aktionen wie Informationsdiebstahl vorzunehmen.

Datenbank-Malware

Es gibt viele Möglichkeiten, schädlichen Code in einer Datenbank zu implementieren. Alles, was ein Angreifer braucht, ist ein Remote-Desktop-System (RDS) mit einer Sicherheitslücke. Es gibt viele Veröffentlichungen über Datenbankangriffe und -verletzungen. Kürzlich fanden Forscher heraus, dass Kriminelle das Beacon-Tool von Cobalt Strikes nutzen, um die Kontrolle über Microsoft SQL-Server zu erlangen. Dadurch können alle zuvor erwähnten Angriffe wie Krypto-Mining, Ransomware und sogar Datenexfiltration durchgeführt werden.

APT

Auch APT-Akteure (Advanced Persistent Threat) haben es auf Cloud-Infrastrukturen abgesehen. Ein Beispiel ist Team TNT, die erste Cloud-native APT-Gruppe. Diese Gang ist dafür bekannt, dass sie Cloud-Assets ausnutzt und sich seitlich in Konten bewegt, um AWS-Zugangsdaten zu sammeln, Datenexfiltration durchzuführen und Smart Crypto Miners einzusetzen. Sie sucht gezielt nach dem Pfad "/.aws/credentials" und auch nach den Metadaten (169.254.169.254) eines Rechners. Wenn die Zugangsdaten dort vorhanden sind, können sie gestohlen und für laterale Bewegungen verwendet werden.

Lesetipp: Politisch motivierte Angriffe - Die vier gefährlichsten Akteure im Netz

So können Sie sich vor Cloud-Bedrohungen schützen

Um Malware in Cloud-Umgebungen zu vermeiden, müssen Unternehmen nach Einschätzung des Sicherheitsanbieters Orca drei Prinzipien befolgen:

• Das erste ist die Exposition gegenüber dem Internet: Malware in der Cloud kommt meist von externen Angreifern. Die dem Internet ausgesetzten Ressourcen sind der Einstiegspunkt. Es gilt sicherzustellen, nur solche Daten offenzulegen, die unbedingt offengelegt werden müssen. Vertrauliche Daten sollten gesichert und vor dem öffentlichen Zugriff geschützt werden.

• Der nächste Schritt besteht darin, sicherzustellen, dass alle Cloud-Ressourcen ordnungsgemäß gesichert und gepatcht sind. "Angreifer scannen ständig nach Assets, die mit dem Internet verbunden sind. Schwache Passwörter oder Schwachstellen erleichtern ihnen das Eindringen", warnen die Experten.

• Zudem ist es wichtig das Prinzip der geringsten Privilegien einzuhalten und sicherzustellen, dass jede Rolle und jedes Asset nur das tun darf, was es soll. Das erschwert laterale Bewegungen.