Thought Leadership
Cryptomining-Malware
Eines der wichtigsten Merkmale der Cloud ist die Möglichkeit, Rechenressourcen (CPU und GPU) nach Bedarf zu nutzen. Natürlich haben Angreifer einen Weg gefunden, dies zu missbrauchen. Cryptominer sind zur beliebtesten Malware geworden, die in Cloud-Ressourcen eingesetzt wird. Nach Angaben von Google waren 86 Prozent der infizierten Assets, die von Google analysiert wurden, mit einem Cryptominer infiziert.
Die häufigste Kryptowährung, die in der Cloud geschürft wird, ist Monero (XMR). Laut VMware stehen 89 Prozent der Angriffe auf Kryptowährungen im Zusammenhang mit XMRig und XMRig-Open-Source-Bibliotheken. Monero wird aufgrund des stabilen Währungswertes, der einfachen Bereitstellung von Minern, der sehr schwierigen Rückverfolgung und der Tatsache ausgewählt, dass diese Kryptowährung im Vergleich zu Bitcoin keine spezielle Hardware für das Mining benötigt.
Cryptominer missbrauchen die CPU-Zyklen von rechenintensiven Cloud-Komponenten wie Containern und Orchestrators, aber auch von normalen VMs. Sie können manuell von einem Angreifer eingesetzt werden, der sich Zugang zu einer entsprechenden Maschine verschafft hat, oder durch eine spezielle Malware.
Container-Malware, die darauf abzielt, Cryptominer zu installieren, wird in letzter Zeit immer häufiger veröffentlicht. Kinsing zum Beispiel ist eine Malware mit Rootkit-Fähigkeiten, die seit mehr als zwei Jahren aktiv ist. Die Malware beginnt ihren Angriff mit dem Scannen nach offenen Docker-Containern, Kubernetes-Orchestrators und anderen Containern. Danach setzt sie mit einem Brute-Force-Angriff fort. Die Malware wird regelmäßig aktualisiert, um mehr Ausdauer und Versteckmöglichkeiten zu erhalten. Um Spuren dieser Malware zu finden, können Administratoren nach Änderungen in Dateien mit dem Namen „xmrig“ oder „kinsing“, der Kommunikation mit URLs, die den Namen „kinsing“ enthalten, und dem Zugriff auf Systemverzeichnisse im Zusammenhang mit der CPU suchen.
Ein weiteres Beispiel für eine solche Malware ist Siloscape, die Kubernetes-Cluster angreift, indem sie verwundbare öffentliche Windows-Container ausnutzt. Die Malware schafft eine Hintertür für Cryptomining, ist aber auch in der Lage, weitaus umfassendere Aktionen wie Informationsdiebstahl durchzuführen.
Datenbank-Malware
Es gibt viele Möglichkeiten, schädlichen Code in einer Datenbank zu implementieren. Alles, was ein Angreifer braucht, ist ein Remote-Desktop-System (RDS) mit einer Sicherheitslücke, z. B. einer Schwachstelle oder einer Fehlkonfiguration, und schon kann ein Angriff durchgeführt werden. Angreifer durchsuchen das Internet ständig nach Datenbanken. Wenn sie eine gefunden haben, kann es nur noch eine Frage von Stunden sein, bis ein Angriff erfolgen kann.
Es gibt viele Veröffentlichungen über Datenbankangriffe und -verletzungen. Kürzlich fanden Forscher heraus, dass Angreifer Beacon von Cobalt Strikes nutzen, um die Kontrolle über MS SQL-Server zu erlangen. Dadurch können Angreifer alle zuvor erwähnten Angriffe wie Krypto-Mining, Ransomware und sogar Datenexfiltration durchführen.
APT
APT-Akteure (Advanced Persistent Threat) haben sich die Chance, an der Cloud-Party teilzunehmen, nicht entgehen lassen. Das stärkste Beispiel ist Team TNT, die erste Cloud-native APT-Gruppe. Diese Gruppe spricht „Cloudish“. Sie ist dafür bekannt, dass sie Cloud-Assets ausnutzt und sich seitlich in Konten bewegt, um AWS-Zugangsdaten zu sammeln, Datenexfiltration durchzuführen und Smart Crypto Miners einzusetzen. Sie sucht nach dem Pfad „/.aws/credentials“ und auch nach den Metadaten (169.254.169.254) jedes Rechners, den sie erreicht. Wenn die Zugangsdaten dort vorhanden sind, können sie gestohlen und für laterale Bewegungen verwendet werden.
Schlussfolgerung
Cloud-Assets und sogar ganze Cloud-Konten können einer Malware-Infektion ausgesetzt sein. Die Schwachstellen, nach denen Angreifer in der Cloud-Welt suchen, sind schwache Passwörter oder Authentifizierung und ausnutzbare Schwachstellen in Cloud-Assets. Diese könnten zu Cryptomining führen, das die CPU-Zyklen ausnutzt und Datenverletzungen oder sogar Ransomware-Angriffe ermöglicht.
Wie können sich Unternehmen vor diesen Bedrohungen schützen?
Um Malware in der Cloud-Umgebung zu vermeiden, müssen Unternehmen nach Meinung von Orca Security drei grundlegende Prinzipien beachten. Das erste ist die Exposition gegenüber dem Internet: Malware in der Cloud kommt meist von externen Angreifern. Die dem Internet ausgesetzten Ressourcen sind der Einstiegspunkt. Es gilt sicherzustellen, nur solche Daten offenzulegen, die unbedingt offengelegt werden müssen, und die Geheimnisse gesichert und vor dem öffentlichen Zugriff geschützt zu halten. Der nächste Schritt besteht darin, sicherzustellen, dass alle Cloud-Ressourcen ordnungsgemäß gesichert und gepatcht sind. Angreifer scannen ständig nach Assets, die mit dem Internet verbunden sind, und schwache Passwörter oder Schwachstellen erleichtern ihnen das Eindringen. Last but not least – ist das Prinzip der geringsten Privilegien einzuhalten und sicherzustellen, dass jede Rolle und jedes Asset nur das tun darf, was sie sollen, was laterale Bewegungen erschwert.
Eine moderne Cloud Security-Plattform bietet zahlreiche Funktionen zur Erkennung und Identifizierung von Fehlkonfigurationen, Schwachstellen und Risiken Cloud-Umgebungen:
- Scannen und Identifizieren von Malware: eine vollständige Malware-Erkennung in allen Cloud-Assets über alle Clouds hinweg.
- Coinminer-Indikator im Shell-Verlauf: Dieser Alarm zeigt alle verdächtigen Befehle im Shell-Verlauf an, die auf Miner-Aktivitäten zurückzuführen sind.
- Warnung bei Brute-Force-Versuchen: Viele Malware-Infektionen in der Cloud beginnen mit einem Brute-Force-Angriff. Sie gibt einen Hinweis auf ein solches Ereignis. Wenn diese Warnung angezeigt wird, empfiehlt es sich, das betreffende Asset zu überprüfen, um sicherzustellen, dass es nicht kompromittiert wurde.
- Schwachstellen-Scanning und Risikopriorisierung: Sie scannt alle Assets auf Schwachstellen und priorisiert die kritischsten Assets und Schwachstellen.
https://orca.security/de/
