Lacework Labs Cloud Threat Report 2/2021 Cyberkriminelle ziele auf Cloud-Konten, Docker und S3-Buckets

Redakteur: Peter Schmitz

Die Nachfrage unter Cyberkriminellen nach Zugang zu Cloud-Konten steigt, was vor allem durch den Verkauf von Admin-Anmeldedaten durch Initial Access Brokers deutlich wird. Das zeigt der Cloud Threat Report des Cloud-Security-Anbieters Lacework. Auch zunehmende Scans und Sondierungen von Storage-Buckets, Datenbanken, Orchestrierungssystemen und interaktiven Logins bestätigen diese Entwicklung.

Firmen zum Thema

Die Crimeware-Bedrohungslage stieg auch Mitte 2021 weiter an. Vor allem das Interesse an Cloud-Konten wird bei den Kriminellen größer.
Die Crimeware-Bedrohungslage stieg auch Mitte 2021 weiter an. Vor allem das Interesse an Cloud-Konten wird bei den Kriminellen größer.
(© kras99 - stock.adobe.com)

Die Security-Experten von Lacework konnten drei Angriffstechniken beobachten, die vermehrt von Cyberkriminellen eingesetzt werden:

  • Benutzer-Ausführung – Bösartiges Image [T1204.003]: Bei T1204.003 wird auf ein bösartiges Image zugegriffen, das vom Ziel genutzt wird, um die Ausführung des Images zu erreichen. Dabei handelt es sich oftmals um die initiale Zugriffsmethode. MITRE stellte fest, dass Amazon Web Services (AWS), Amazon Machine Images (AMI) Google Cloud Platform (GCP) Images, Azure Images sowie beliebte Container-Runtimes wie Docker mit einem Backdoor versehen werden können.
  • Persistenz – Interne Image Implementierung [T1525]: Sobald Angreifer Zugriff auf eine Umgebung haben, fügen sie bösartigen Code in Cloud- und Container-Images ein, um sich auf Dauer einzunisten. AWS-AMIs, GCP-Images, Azure-Images und Docker können manipuliert oder mit einer Backdoor versehen werden. Beim Einsatz von T1525 befindet sich das Backdoor-Image in einer Registry innerhalb der angegriffenen Umgebung. Sollte das Tool zur Bereitstellung der Infrastruktur angewiesen werden, immer das neueste Image zu verwenden, könnte dies Angreifern einen dauerhaften Zugriff ermöglichen. Cyberkriminelle nutzen diese Methode, um die Bereitstellung ihrer Images zu automatisieren, einen Zugang zu erhalten oder die Funktionen zu erweitern.
  • Ausführung – Deploy Container [T1610]: Besonders Gruppierungen wie TeamTNT und weitere Angreifer missbrauchen Docker Hub, um Container in einer Umgebung bereitzustellen. Ziel ist es, die Ausführung zu ermöglichen oder Verteidigungsmaßnahmen zu unterlaufen. T1610 kann dabei für opportunistisches Cryptojacking oder auch als Zugriffsmethode für ein bestimmtes Angriffsziel verwendet werden.

Neue Crimeware-Vorfälle, Schwachstellen und Angriffspunkte

Risiken und Bedrohungen für Cloud-Dienste ändern sich laufend und entwickeln sich weiter. Einige Crimeware-Vorfälle, Schwachstellen und Angriffspunkte für Cyberkriminelle konnten in den vergangenen Monaten beobachtet werden. Die Crimeware-Bedrohungslage wird auch Mitte 2021 größer. Die Security-Experten von Lacework Labs haben verschiedene interessante Forschungsprojekte entdeckt, die durch Einbruchsuntersuchungen und proaktive Bedrohungsüberwachung initiiert wurden.

Im Mai 2021 setzte die bekannte Gruppierung TeamTNT exponierte Docker-APIs ein, um bösartige Images bereitzustellen. Die mit TeamTNT-Malware befallenen Docker-Images wurden in öffentlichen Docker-Repositories gehostet, die auf böswilligen Kontoübernahmen basierten. TeamTNT nutzte in mehreren Fällen die dadurch gewonnenen Docker-Hub-Secrets auf GitHub, um bösartige Docker-Images bereitzustellen.

Die auch unter dem Namen Necro und Freakout bekannte Keksec-Gruppe nutzt aktuell eine neue Tsunami-DDoS-Malware-Variante namens „Ryuk“. Diese Variante hat nichts mit der weitverbreiteten Ryuk-Ransomware-Familie zu tun. Die Gruppe ist weiterhin sehr aktiv und führt opportunistische Angriffe auf Cloud-Infrastrukturen durch. Ziel ist das Mining von Kryptowährungen und die Durchführung von DDoS-Kampagnen. Ein umfassender Blick auf die Keksec-Infrastruktur hat neben der neuen Tsunami-Variante namens Ryuk auch einen neuartigen DGA-Algorithmus sowie neue Persona-Details aufgedeckt.

Darüber hinaus erhielt Lacework weitere Erkenntnisse über einen neuen Angreifer namens 8220 Gang. Es wurde ein neuer Aktivitätscluster entdeckt, der mit einer 8220-Gang-Kampagne verbunden ist. Dabei werden Hosts, vor allem über gängige Cloud-Dienste, mit einem benutzerdefinierten Miner und IRC-Bot für weitere Angriffe und zum Zwecke der Fernsteuerung infiziert. Die auf XMRig basierende, benutzerdefinierte Miner-Variante PwnRig versucht, ihre Konfigurationsdetails zu verbergen und nutzt einen Mining-Proxy. Dadurch entzieht sich dieser Miner der öffentlichen Überwachung seiner Pool-Details. Der modifizierte IRC-Bot wird ebenfalls auf den Rechnern der Opfer installiert. Lacework stellte dazu einen Dump aller Samples, ihrer Build-IDs, der zugehörigen C2-Server und Mining-Wallets für die PwnRig-Familie bereit. Zudem wurde ein Dump aller illegalen Mining-Samples, ihrer konfigurierten C2-Server und des für den automatischen Botnet-Zugang konfigurierten IRC-Kanals veröffentlicht.

Schwachstellen und Möglichkeiten für Angreifer

Im Rahmen von Ransomware-Angriffen werden immer häufiger auch Canary-Token eingesetzt. Der „Lacework 2021 CloudThreat Report Vol. 2“ weist auf eine neue Technik hin, bei der der legale Dienst canarytokens.org unter Umständen als Benachrichtigungsdienst für die Ausführung von Ransomware missbraucht werden kann. Zum Zeitpunkt der Veröffentlichung des Reports befand sich diese Technik noch in der Entwicklung. Den praktischen Einsatz dieser Technik konnte bis dato noch nicht beobachtet werden. Das Forschungsteam von canarytokens.org wurde bereits über die missbräuchlichen Canary-Tokens informiert und diese wurden umgehend deaktiviert.

Anfang Juni erfolgte eine Analyse über Initial Access Brokers (IAB) und das erweiterte Angebot für den Zugriff auf Cloud-Netzwerke. IAB hat das „Geschäftsmodell“ weiterentwickelt: Am Anfang standen opportunistische Angriffe auf zum Internet offene Unternehmens-Assets, die als bloße Proxies verkauft wurden. Heute bietet IAB auch gezielte Angriffe auf Unternehmensnetzwerke und eine Bewertung der Lukrativität der Umgebung an. Anschließend wird der Zugang zum Unternehmen zum Zwecke von Ransomware-Angriffen, Spionage und mehr verkauft. Amazon AWS-, Google Cloud- und Azure-Verwaltungskonten haben sich schnell zum neuen Verkaufsschlager auf Underground-Marktplätzen entwickelt. Was als vereinzeltes Angebot begann, hat mittlerweile deutlich Fahrt aufgenommen. Cyberkriminelle verstehen den Nutzen von Zugängen zu Cloud-Diensten für das Mining von Kryptowährungen und darüber hinaus.

Weiterhin wurden neben einigen Kryptojacking-Eindringungen auch eine Reihe von Schwachstellen im XMRigCC identifiziert. XMRigCC ist eine Variante von XMRig, die eine Benutzeroberfläche für die Verwaltung zahlreicher Cryptominers bietet. Sie wird zum Starten, Stoppen, Neustarten und Ausführen von Befehlen auf dem Remote-Miner eingesetzt. Die identifizierten XMRigCC-Schwachstellen ermöglichen es Rogue-Clients / kompromittierten Hosts/Opfern, Upstream-Server anzugreifen, was letztlich zu weiteren Risiken für Opfer und legitime Nutzer führt. Die erkannten Schwachstellen wurden bereits mit dem Proof-of-Concept-Code sowie den empfohlenen Unterstützungsmaßnahmen an die Entwickler von XMRigCC weitergeleitet und die Korrekturen vor der Veröffentlichung bestätigt.

Sondierung von Cloud-Diensten

Lacework erfasst im Rahmen des Threat Reports eine Reihe von Telemetriedaten, sowohl in den Produktbereitstellungen als auch in speziell angepassten Honeypots. Dadurch können Trends erkannt werden, die für die Cloud-Sicherheit relevant sind. Die nachfolgenden Daten geben einen Einblick in den Datenverkehr zwischen dem 1. Mai und dem 1. Juli 2021. Bei den Honeypots wurden viele Cloud-relevante Anwendungen permanent beobachtet. Die Telemetriedaten zeigen, dass vor allem SQL, Docker und Redis mit Abstand am beliebtesten waren. Erwähnenswerte Erkenntnisse lassen sich auch bei der Analyse von SSH- und AWS-Cloudtrail-Protokollen gewinnen.

Cloudtrail-Protokolle können umfassende Einblicke in AWS-Umgebungen liefern. Für Informationen zur AWS-Ausspähung kann es helfen, die S3-Aktivität zu untersuchen. Lacework hat dazu die S3-Sondierung des eigenen Kundenstamms analysiert. Obwohl es einige Überschneidungen mit Honeypot- und Brute-Forcing-Traffic gab, war das allgemeine Traffic-Profil für das Quartal unverwechselbar. Eine zentrale Erkenntnis war, dass TOR bei der AWS-Ausspähung offenbar häufiger als andere Aktivitäten zum Einsatz kam.

Zu den am häufigsten beobachteten S3-APIs gehören GetBucketVersioning, GetBucketAcl und GetBucketLocation. PutBucketAcl wurde auch von vielen Tor Nodes ausgehend beobachtet. Die PutBucketAcl-API überschreibt die Berechtigungen auf einem S3-Bucket, sodass das Auftreten dieser Anfrage von einem unbekannten Host eher als offensive Aktivität und nicht als passives Scanning zu bewerten ist.

Ungefähr 93 Prozent der beobachteten Hosts, die Docker-APIs sondierten, nutzten den beliebten Anwendungsscanner zgrab. Der Go-Docker-Client sowie mehrere mobile User-Agents wurden ebenfalls beobachtet, was auf mögliche Aktivitäten des Mobile-Botnets hindeutet.

Redis untersuchende Hosts verwenden hauptsächlich den INFO-Befehl der Redis-Kommandozeilenschnittstelle, der grundlegende Informationen und Statistiken über den Server bereitstellt. Diese Taktik wird sowohl für böswillige Aufklärungsprozesse als auch von beliebten legitimen Scanning-Diensten wie Shodan verwendet. Redis verfügt über keinerlei Sicherheitsvorkehrungen und ist damit ein einfaches Ziel für Angreifer. Zwischen dem 1. Mai und 1. Juli 2021 wurden bei den Traffic-Quellen nach ASN für den zugehörigen Traffic über 27.000 einzelne Hosts beobachtet.

SSH - Secure Shell Protocol

Port 22 (SSH) ist als beliebtester Dienst für Fernzugriff und -verwaltung nach wie vor der mit Abstand am häufigsten angegriffene Port. Die SSH Brut-Forcing-Aktivitäten gegen Produktionsumgebungen erfolgen häufig mithilfe von Botnetzen wie Groundhog. Das Groundhog-Botnet breitet sich weiterhin rasant aus und hat seit der Erfassung über 70.000 Cloud-Server infiziert.

Zwischen dem 1. Mai und dem 1. Juli 2021 wurden über 137.000 eindeutige Brute-Force-Hosts beobachtet, von denen die meisten aus Asien und Indien stammen. Die Spitzen-ASN ist 4134 Chinanet, das auch eines der Top-Netzwerke in der Honeypot-Telemetrie war und in der Vergangenheit bereits zu den Top-Quellen für Botnet-Aktivitäten in allen Bereichen gehörte.

Fazit

Um die Risiken dieser erkannten Gefahren so gering wie möglich zu halten, sollten Verantwortliche folgende Empfehlungen umsetzen:

  • Docker-Sockets sollten nicht öffentlich zugänglich und geeignete Firewall-Regeln / Sicherheitsgruppen sowie weitere Netzwerkkontrollen vorhanden sein. Dadurch lässt sich der unbefugte Zugriff auf die laufenden Netzwerkdienste verhindern.
  • Basis-Images sollten aus vertrauenswürdigen Upstream-Quellen stammen und entsprechend geprüft werden.
  • Die Implementierung schlüsselbasierter SSH-Authentifizierung wird empfohlen
  • Es sollten Zugriffsrichtlinien über die Konsole für Ihre S3-Buckets festgelegt werden, die nicht von einer Automatisierung außer Kraft gesetzt werden. Häufiges Auditing von S3-Richtlinien und Automatisierung bei der Erstellung von S3-Buckets kann dabei helfen, Daten privat zu halten.
  • Der geschützte Modus in Redis-Instanzen sollte aktiviert werden, um den Zugriff auf das Internet zu verhindern.

(ID:47620168)