Thought Leadership
Da immer mehr Unternehmen ihre Ressourcen in die Cloud verlagern, richten auch Malware-Verbreiter ihre Aufmerksamkeit auf die Cloud. Der Orca Security Research Pod sammelt Daten über häufige Malware-Bedrohungen in der Cloud und gibt Aufschlüsse darüber, wie Unternehmen diese erkennen, abmildern und vermeiden können.
Wie findet Malware ihren Weg in Cloud-Ressourcen?
In der On-Premises-Welt basieren die Hauptinfektionsvektoren auf benutzerbezogenen Aktionen, zum Beispiel durch gefährliche Anhänge von E-Mails, gefährlichen Links in E-Mails oder Downloads von halblegalen Websites. In der Cloud-Welt verhält es sich ein wenig anders: Angreifer suchen nach einer anderen Art von unsicherem „Benutzer“-Verhalten – nicht gewartete Assets und gefährlich konfigurierte Konten. Die Nutzer sind hier die Eigentümer der Cloud.
Die häufigsten Angriffsvektoren in der Cloud beruhen nach Erfahrung von Orca Security auf der Suche nach Assets mit einfacher Authentifizierung (schwache oder durchgesickerte Passwörter), ausnutzbaren Schwachstellen und riskanter Exposition gegenüber dem Internet. Wie von der CISA veröffentlicht, waren die meistgenutzten Infektionsvektoren im Jahr 2021 gestohlene RDP-Zugangsdaten, Brute-Force-Angriffe und die Ausnutzung von Schwachstellen. Der anfängliche Angriffsvektor muss nicht unbedingt ein internetfähiges System sein. Angreifer können zunächst Fuß fassen, sich dann seitlich im Cloud-Konto bewegen und Malware an einem tieferen strategischen Ort installieren.
Linux-Malware
Die Flexibilität, Agilität und Skalierbarkeit, die Unix-ähnliche Maschinen bieten, macht sie Cloud-nativ. Viele von Cloud-Anbietern angebotene PaaS-Lösungen laufen standardmäßig auf Linux-Distributionen. Daten von Orca Security zufolge laufen fast 98 Prozent der Cloud-Assets, die Orca scannt, auf Unix-ähnlichen Betriebssystemen. Dies macht jede Art von Linux-Malware für die meisten Cloud-Ressourcen relevant. Einige Bedrohungen suchen jedoch gezielt nach anfälligen oder verfügbaren Linux-Rechnern in der Cloud.
Die Ausweitung von Malware auf Linux-Systeme: Viele Unternehmen entscheiden sich für ein hybrides Modell der Cloud-Nutzung. Das bedeutet, dass ein Unternehmen möglicherweise nur einen Teil seines Netzwerks in der Cloud hat; der Rest befindet sich vor Ort. Angreifer haben keine Möglichkeit ausgelassen, ihren Einfluss auf solche Netzwerke zu maximieren. Aus diesem Grund haben viele Malware-Familien zusätzliche Linux-Funktionen entwickelt, die sie in die Lage versetzen, sich seitlich in Hybrid-Cloud-Umgebungen zu bewegen.
Das sind die häufigsten Malware-Typen, denen Unternehmen in ihrer Cloud begegnen können:
- Linux-basiertes Vermilion Strike: Cobalt Strike ist ein kommerzielles Tool, das sowohl von Pen-Testern als auch von Angreifern verwendet wird. Das Tool ist bekannt für seine vielfältigen Fähigkeiten wie Port-Scanning, Privilegienerweiterung, Fernzugriff und mehr. Viele der bekanntesten Malware-Familien im Jahr 2021 verwenden die Nutzlast dieses Tools namens „Beacon“ als zweites Infektions-Tool, um auf verschiedene Weise weitere Daten von dem infizierten Rechner zu sammeln, Daten zu exfiltrieren und sogar Ransomware einzusetzen.
Das Problem bei Cobalt Strike ist jedoch, dass es sich um eine reine Windows-Software handelt. An dieser Stelle kommt sein Linux-Geschwisterchen ins Spiel: Vermilion Strike. Vermilion Strike ist eine Neuimplementierung des Beacon-Tools von Cobalt Strike für Linux-Rechner. Dies erweitert die Möglichkeiten von Angreifern, in einer hybriden Umgebung auf vielseitige Weise aus der Ferne zu agieren.
- TrickBot: Obwohl es in den letzten Monaten relativ ruhig war, ist dieser modulare Trojaner für seine große Verbreitung bekannt. Sein Hauptinfektionsvektor sind bösartige E-Mail-Anhänge und laterale Bewegungen in Netzwerken. Letztes Jahr führte TrickBot ein neues Modul ein, das nicht nur Windows-, sondern auch Linux-Rechner infizieren kann, was ihm eine bessere laterale Bewegung in einer hybriden Umgebung ermöglicht.
- Remote Access Tools: RATs sind bei Angreifern sehr beliebt, um mehr Informationen von einem infizierten Rechner zu erhalten. Viele bekannte RATs wie Netwire sind plattformübergreifend, aber es gibt auch spezielle RATs für Linux-Rechner, zum Beispiel CronRAT, das sich in einem Linux Cron-Job versteckt. Darüber hinaus können Angreifer bekannte Open-Source-Tools wie Pupy und n00bRAT verwenden, die auch mit Unix-ähnlichen Systemen kompatibel sind.
- Mirai: Man kann nicht über Unix-ähnliche Bedrohungen sprechen, ohne Mirai zu erwähnen. Dieses Botnet ist die Ursprungsform vieler Bedrohungen, die auf anfällige Linux-Dienste abzielen. Seit der Veröffentlichung des Quellcodes von Mirai haben viele Angreifer Mutationen dieser Malware erstellt, die Millionen von Assets betreffen. Alle Mirai-ähnlichen Schadprogramme beginnen ihre Angriffe mit dem Scannen nach anfälligen, dem Internet zugewandten Rechnern. Ein anfälliges Gerät kann ausnutzbare Schwachstellen in Protokollen, Betriebssystemen oder Diensten aufweisen oder einfach nur ein Asset mit einem schwachen/leckenden Passwort sein. Die meisten DDoS-Linux-Malware-Codes sind Abwandlungen von Mirai, z. B. SORA.
- Backdoors: Angreifer vernachlässigen nicht die Möglichkeit, auch auf Linux-Systemen eine Backdoor einzusetzen. So versteckte sich beispielsweise die RedXOR-Malware, die letztes Jahr von Intezer aufgedeckt wurde, in einem gefälschten Linux Polkit-Daemon.
Cloud-Ransomware
Ransomware in der Cloud ist bereits ein alltägliches Phänomen. Laut US-Cert wurde im Jahr 2021 ein deutlicher Anstieg von Ransomware-Angriffen beobachtet – und viele dieser Angriffe zielten auf Cloud-Ressourcen ab. Wie eingangs erwähnt, müssen Malware-Angriffe im Allgemeinen nicht von dem im Internet exponierten Asset ausgehen. Bei Ransomware ist dies sogar noch relevanter, da der Angreifer zuerst die „Kronjuwelen“ identifizieren möchte, um den größten Schaden anzurichten.
In den letzten Jahren wurden viele große Ransomware-Infektionen in Cloud-Infrastrukturen bekannt. Das größte und jüngste Beispiel sind die Beiträge über Colonial Pipelines, bei denen die Treibstoffversorgung in den USA unterbrochen wurde. Die Unternehmensdaten wurden von DarkSide verschlüsselt, die zu den stärksten verfügbaren Ransomwares aus dem RaaS (Ransomware as a Service)-Portfolio gehört. Diese RaaS arbeitet mit einer „doppelten Erpressungsmethode“. Das Lösegeld wird also nicht nur für die Freigabe der verschlüsselten Dateien auf dem Konto gezahlt, sondern auch als Lösegeld an die Angreifer, damit diese die exfiltrierten Daten nicht veröffentlichen. Diese Ransomware verschafft sich Zugang zu Konten durch RDP-Brute-Force-Angriffe und Ausnutzung bekannter Schwachstellen.
Eine weitere bekannte Ransomware-Gruppe, von der angenommen wird, dass sie mit DarkSide in Verbindung steht, ist REvil. Bis zur Verhaftung der Mitglieder dieser Gruppe im Januar dieses Jahres war sie die produktivste Ransomware-Gruppe. Die Gruppe war an vielen bekannten Angriffen beteiligt, z. B. auf die Lieferkette von Apple und sogar an der Erpressung von US-amerikanischen Prominenten wie Madonna und Lady Gaga.
Der relativ neue dominante Akteur auf dem Gebiet der Ransomware ist LockBit, das nach der Zerschlagung der REvil-Gruppe und dem Code-Leck von Conti immer mehr Aufmerksamkeit erregt. Diese RaaS hat angeblich die schnellste Verschlüsselung auf dem Markt. Als ursprünglicher Zugangsvektor dienen Brute-Force-Angriffe und sozial manipulierte Phishing-Nachrichten. Im Oktober letzten Jahres haben die Betreiber eine neue Version veröffentlicht, die Linux und VMware ESXI-Hypervisoren infiziert und viele Linux-Cloud-Ressourcen angreifen kann. Das bisher größte Opfer dieser Ransomware ist Accenture. Im August 2021 forderte ein Angreifer Berichten zufolge 50 Millionen US-Dollar für sechs TB Daten.
