Sie sind hier: Startseite » Fachartikel » Hintergrund

Kenntnisse über AWS-Cloud-Mechanismen


Scarleteel: Cloud-Operation nutzt Terraform, Kubernetes und AWS für Datendiebstahl
Der hier beschriebene Angriff ist ein deutlicher Hinweis darauf, wie Bedrohungsakteure versuchen, die Cloud als Hauptziel zu erreichen


Von Alberto Pellitteri, Sicherheitsforcher beim Sysdig Threat Research Team

Das Sysdig Threat Research Team entdeckte kürzlich eine ausgeklügelte Cloud-Operation, genannt Scarleteel, welche in einer Kundenumgebung, zum Diebstahl geschützter Daten führte. Der Angreifer nutzte eine containerisierte Arbeitslast aus und verschaffte sich so Zugang zu einem AWS-Konto, um geschützte Software und Anmeldeinformationen zu stehlen. Außerdem versuchten sie, mithilfe einer Terraform Status Datei auf andere verbundene AWS-Konten zuzugreifen, um ihre Reichweite auf das gesamte Unternehmen zu vergrößern.

Dieser Angriff war raffinierter als die meisten anderen, da er von einem kompromittierten Kubernetes-Container ausging und sich auf das AWS-Konto des Opfers ausbreitete. Die Angreifer hatten auch Kenntnisse über AWS-Cloud-Mechanismen, wie Elastic Compute Cloud (EC2)-Rollen, serverlose Lambda-Funktionen und Terraform. Das Endergebnis war nicht nur ein typischer Kryptojacking-Angriff. Der Angreifer hatte andere, bösartigere Motive: den Diebstahl von proprietärer Software.

Cyberangriffe in der Cloud haben im letzten Jahr um 56 Prozent zugenommen. Die häufigsten Motive sind das Erreichen von Persistenz in der Cloud, das Exfiltrieren sensibler Daten und die Erstellung neuer Ressourcen wie EC2-Instanzen zur Verwendung für Kryptomining. Solche Ressourcen können erhebliche Auswirkungen auf die Cloud-Kosten eines Unternehmens haben. Die Realität ist, dass Angreifer gehackte Cloud-Ressourcen für mehr als nur Kryptomining nutzen können.

Der jüngste Angriff hat viele Facetten, die die Komplexität der Sicherung einer Cloud-basierten Infrastruktur verdeutlichen. Schwachstellenmanagement allein kann nicht alles abdecken. Stattdessen gibt es eine Reihe von Tools, die Ihr Risiko durch moderne Bedrohungen verringern können, darunter virtuelle Maschinen, Cloud Security Posture Management (CSPM), Cloud Infrastructure Entitlement Management (CIEM), Runtime-Bedrohungs Erkennung und Secrets Management.

Überblick
Die wichtigsten Schritte in der Kill Chain. Zunächst wird der Angriff auf einer hohen Ebene dargestellt, dann werden die einzelnen Schritte detaillierter erläutert.

Schritt 1: Der Angreifer verschaffte sich zunächst Zugang, indem er einen öffentlich zugänglichen Service in einem selbst verwalteten Kubernetes-Cluster ausnutzte, der in einem AWS-Cloud-Konto gehostet wird.

Schritt 2: Sobald der Angreifer Zugriff auf den Pod hatte, konnte die Malware während der Ausführung zwei erste Aktionen durchführen:
>> Einen Cryptominer starten, um Geld zu verdienen oder eine Ablenkung zu bieten.
>> Zugriff auf Anmeldeinformationen über die temporären Anmeldeinformationen eines Mitarbeiters im Instance Metadata Service (IMDS) v1, um mithilfe der Cluster-Rollenberechtigungen Informationen in seinem Namen aufzuzählen und zu sammeln. Aufgrund der übermäßig gewährten Berechtigungen war der Angreifer in der Lage:
>> AWS-Ressourcen zu enumerieren.
>> Anmeldeinformationen anderer IAM-Benutzer (Identity and Access Management) zu finden, die als Lambda-Umgebungsvariablen festgelegt und im Klartext in Amazon Simple Storage Service (S3)-Buckets übertragen wurden.

Schritt 3: Der Angreifer nutzte die im vorherigen Schritt gefundenen Anmeldeinformationen, um sich lateral zu bewegen. Er wandte sich direkt an die AWS-API, enumerierte das Konto weiter und fuhr mit dem Sammeln von Informationen und der Datenexfiltration fort. Während dieses Schritts waren sie in der Lage:
>> CloudTrail-Protokolle zu deaktivieren, um Erkennung zu entgehen.
>> Proprietäre Software zu stehlen.
>> die Anmeldeinformationen eines IAM-Benutzers zu finden, der zu einem anderen AWS-Konto gehört, indem er Terraform-Statusdateien in S3-Buckets entdeckte.

Schritt 4: Der Angreifer nutzte die neuen Anmeldeinformationen, um sich erneut lateral zu bewegen und den Angriff und seine Kill Chain von dem anderen AWS-Konto, das er gefunden hatte, zu wiederholen. Glücklicherweise waren sie in diesem Fall nicht in der Lage, Ressourcen zu enumerieren, da alle AWS-API-Anfragen, die sie versuchten, aufgrund fehlender Berechtigungen fehlschlugen.

Empfehlungen
Der hier beschriebene Angriff ist ein deutlicher Hinweis darauf, wie Bedrohungsakteure versuchen, die Cloud als Hauptziel zu erreichen. Es begann mit einem kompromittierten Service, jedoch versuchte der Angreifer sofort sich lateral in der Cloud zu bewegen, sobald er gültige Anmeldeinformationen erhalten hatte, um an wertvolle Informationen wie proprietären Code zu gelangen. Sie versuchten auch, auf andere Cloud-Konten auszuweichen, um an noch mehr Daten zu gelangen.

Hier sind einige der wichtigsten Erkenntnisse, die helfen können, besser vorbereitet zu sein:

>> Nutzung von aktuellen Patches und einem Vulnerability Management Cycle für Anwendungen und öffentlich zugänglichen Container an. So kann erkannt werden welche Schwachstellen bestehen, und können Prioritäten für die Patching-Aktivitäten setzen.

>> Verwendung von IMDS v2 anstelle von IMDS v1. Die Verbesserungsversion erfordert sitzungsorientierte Anfragen, um den Schutz vor unbefugtem Zugriff auf Metadaten zu erhöhen. Um sicherzustellen, dass nur autorisierte Pods bestimmte IAM-Rollen in Clustern übernehmen können, sollte das Prinzip von Least Privilege angewendet und wann immer möglich IAM Rollen für Service Accounts (IRSA) verwendet werden. IRSA schränkt den Zugriff auf Ressourcen ein und verringert das Risiko eines unbefugten Zugriffs. Pods, die nicht autorisiert sind, bleiben bei den IMDS-Einstellungen.

>> Die Bedeutung von schreibgeschütztem Zugriff. Selbst der schreibgeschützte Zugriff auf bestimmte AWS-Ressourcen wie Lambda-Funktionen bedeutet, dass Datenexfiltration oder das Abgreifen von Anmeldeinformationen möglich sind. Die Beschränkung des Nur-Lese-Zugriffs nur auf die benötigten Ressourcen ist von grundlegender Bedeutung, um Konten sicher zu halten.

>> Überwachung von veralteten Objekten in Cloud-Konten. Ungenutzte Berechtigungen, selbst wenn sie alt sind und nie genutzt wurden, können gefährlich sein und im Falle einer Kompromittierung viel kosten. Das Bewusstsein für veraltete Objekte und die regelmäßige Bewertung der Cloud-Objekte sollte obligatorisch sein.

>> Terraform ist ein großartiges Werkzeug, aber es muss mit Sorgfalt behandelt werden. Man sollte sich an Best Practices halten und Statusdateien an einem sicheren Ort speichern. Mithilfe von Schlüsselverwaltungsdiensten (KMS) wie AWS KMS, GCP KMS oder Azure Key Vault ist es möglich, Geheimnisse sicher aufzubewahren und sie bei Bedarf zu ver- oder entschlüsseln.

Schlussfolgerung
Es wurden einige Maßnahmen nach der Entdeckung des Angriffs zur Sicherung der Umgebung ergriffen. Dazu gehörten die Deaktivierung und Entfernung der Zugangsschlüssel und geheimen Zugangsschlüssel von Benutzern sowie die Sicherung anfälliger Anwendungen nach der Durchführung einiger Audits und Penetrationstests. Im nächsten Schritt wurde die Beschränkung des Zugangs zu sensiblen S3-Buckets durch die Verwendung restriktiver Richtlinien enger eingestellt. Zudem wurden zusätzliche Maßnahmen zur Minimierung der Privilegien eingeführt, um die potenzielle Angriffsfläche zu verringern und Querbewegungen in der Cloud zu verhindern.

Bei diesem komplexen Angriff konnte man sehen, wie weit ein Angreifer gehen kann, wenn er eine anfällige Anwendung mit unzureichenden Sicherheitsmaßnahmen kompromittiert. Dieses Ereignis bestätigte, zwei bestehenden Einschätzungen. Erstens: Zero Trust und das Prinzip von Least Privilege sind wichtig, und verringern die Wahrscheinlichkeit einer Kompromittierung. Zweitens: Strenge Erkennungsmechanismen und Warnmeldungen sollten in der Lage sein, diese Aktivitäten zu erkennen, bevor ein Angreifer zu tief eindringt.

Über Alberto Pellitteri: Sicherheitsforscher und Ingenieur
Alberto Pellitteri ist Sicherheitsforscher mit Spezialisierung auf Kubernetes- und Docker-Technologien. Als Sicherheitsforscher bei Sysdig erforscht Alberto Pellitteri Malware und Angriffe, die auf Cloud-Infrastrukturen und anfällige Umgebungen abzielen. Als Mitwirkender an Open-Source-Projekten hat Alberto auch zu Falco beigetragen, einem Open-Source-Laufzeit-Sicherheitstool der CNCF auf Inkubationsniveau. Alberto studierte Cybersicherheit, während er seinen Bachelor- und Master-Abschluss in Computertechnik in Italien machte. (Sysdig: ra)

eingetragen: 23.03.23
Newsletterlauf: 06.06.23

Sysdig: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Hintergrund

  • Datensicherheit auf mehreren Ebenen

    Unternehmen verlassen sich bei der Verwaltung und Bereitstellung ihrer Daten zunehmend auf Cloud-Dienstleistungen. Dadurch müssen sich die Datenverantwortlichen zunehmend mit der nötigen Datensicherheit und -integrität auseinandersetzen.

  • Schock über die Cloud-Rechnung?

    Die Relevanz von Cloud Computing-Technologie hat im vergangenen Jahrzehnt rasant zugenommen und damit auch die Anzahl an Geschäftsprozessen und Services, die Unternehmen in die Cloud auslagern. Viele Unternehmen verfolgen dabei einen "Cloud first"-Ansatz als zentralen Bestandteil ihrer digitalen Transformationsbemühungen.

  • Einführung in CRaaS

    In der Datenwelt findet ein Sicherheitswettlauf statt. Mit dem Fortschritt der Technologie entwickeln sich aber auch die Waffen und Taktiken der Cyberkriminellen weiter. Unternehmen müssen deshalb ständig ihre Performance optimieren und bessere Methoden entwickeln, um sich vor neuen Attacken und Angriffsmethoden zu schützen.

  • Wenn das Flussdiagramm in die Cloud zieht

    Business-Process-Management (BPM) hat in den letzten Jahren eine steile Weiterentwicklung hingelegt. Das Dokumentationstool von einst, dessen Zweck vorwiegend darin bestand, eine möglichst große Zahl von Prozessen präzise zu visualisieren, hat sich zu einer vielseitig vernetzbaren Technologie entwickelt, die Geschäftsprozesse systemübergreifend analysiert und überwacht, mit dem Ziel Optimierungspotenziale zu nutzen.

  • Kenntnisse über AWS-Cloud-Mechanismen

    Das Sysdig Threat Research Team entdeckte kürzlich eine ausgeklügelte Cloud-Operation, genannt Scarleteel, welche in einer Kundenumgebung, zum Diebstahl geschützter Daten führte. Der Angreifer nutzte eine containerisierte Arbeitslast aus und verschaffte sich so Zugang zu einem AWS-Konto, um geschützte Software und Anmeldeinformationen zu stehlen.

  • Den richtigen Cloud-Service-Anbieter auswählen

    Vorschriften zur Datenhoheit, wie der Data Governance Act in Europa, können für Unternehmen eine Herausforderung darstellen. Eine der Hauptschwierigkeiten besteht darin, den Überblick darüber zu behalten, wo Daten gespeichert sind. Zudem müssen Unternehmen sicherstellen, dass die Speicherung mit den lokalen Datenschutzbestimmungen übereinstimmt.

  • Compliance vs. oder sogar mit IT-Sicherheit?

    Kleine und mittelständische Unternehmen (KMU) sehen sich seit Jahren mit Cyberattacken konfrontiert, die vor allem auf ihre Daten abzielen. In den letzten Jahren hat sich diese Perspektive dahingehend geändert, dass sie sich mit immer mehr Ransomware-Bedrohungen auseinandersetzen müssen. Beispiele dafür lassen sich so viele finden, dass sie nicht einzeln erwähnt werden müssen, allerdings sind in jüngster Zeit bereits Fahrradhersteller, Chemieproduzenten oder Nachrichtenmagazine darunter zu finden.

  • Data Act könnte schon 2024 in Kraft treten

    Wir erleben es jeden Tag: Datenmengen steigen ins Unermessliche. Die Prognose der EU-Kommission erwartet allein in der EU zwischen 2020 und 2030 einen Anstieg des Datenflusses in Cloud- und Edge-Rechenzentren um 1500 Prozent - kein Tippfehler. Entsprechend riesig ist das wirtschaftliche Potential, denn Daten sind der zentrale Rohstoff etwa für das Internet of Things.

  • Mit richtiger Unterstützung zum MSSP-Erfolg

    Auch kleine und mittlere Unternehmen (KMU) benötigen heute eine ganzheitliche IT-Sicherheitsstrategie, inklusive einer 24/7-Überwachung durch ein Security Operations Center (SOC). Sie verfügen aber meist nicht über die nötigen personellen und finanziellen Ressourcen, um diese Aufgabe selbst zu stemmen. Mit den richtigen Managed-Security-Angeboten schließen Reseller diese Lücke.

  • Keine Bestnoten für Deutschlands Rechenzentren

    Rechenzentren werden geplant, gebaut, in Betrieb genommen und dann viele Jahre lang mehr oder minder unverändert genutzt. Doch die Anforderungen der betreibenden Unternehmen, die technologischen Möglichkeiten und die gesetzlichen Rahmenbedingungen ändern sich im Laufe der Zeit. Um böse Überraschungen zu verhindern, Kosten zu sparen und Risiken zu vermeiden, ist es notwendig, Defizite in Bestandsrechenzentren zu entfernen und Optimierungspotentiale zu nutzen. Hierzu sollten Rechenzentren regelmäßig einer ganzheitlichen Betrachtung unterzogen werden.

Wenn das Flussdiagramm in die Cloud zieht Den richtigen Cloud-Service-Anbieter auswählen

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen