Das wachsende Risiko von Drittanwendungen: Sicher bleiben in der Cloud.

Ausführen von Anwendungen von Drittanbietern in a Cloud -Umgebung ist zu einem wachsenden Sicherheitsrisiko für Unternehmen geworden, das Workloads einem größeren Risiko aussetzt, insbesondere wenn die Software von Drittanbietern einige API-Funktionen für das öffentliche Web verfügbar macht. Der Mangel an Verwaltung, Kontrolle und Transparenz dieser Anwendungen von Drittanbietern und der Softwarelieferkette im Allgemeinen ist der Grund, warum Angreifer sie zunehmend ins Visier nehmen, um Informationen zu sammeln und Organisationen zu infiltrieren.

Die heutigen Cyber-Angreifer entwickeln ihre Techniken ständig weiter, was moderne Cloud-native Workloads zu einem sehr verlockenden Ziel macht. Neben der Ausnutzung von Web-APIs zur Entfesselung von Kryptomining-Kampagnen missbrauchen sie auch kostenlose Kontingentangebote beliebter Cloud-CI/CD-Plattformen, um Rechenleistung einfach in digitale Münzen umzuwandeln.

Tatsächlich hat das Forschungsteam von Aqua kürzlich Zehntausende von Benutzertoken aufgedeckt, die über die Travis CI-API offengelegt werden, die es jedem ermöglicht, auf historische Klartextprotokolle zuzugreifen. Es sind mehr als 770 Millionen Protokolle von Benutzern des kostenlosen Kontingents verfügbar, aus denen Sie problemlos Token, Geheimnisse und andere Anmeldeinformationen für beliebte Cloud-Dienstanbieter extrahieren können. Angreifer können diese sensiblen Daten verwenden, um massive Cyberangriffe zu starten und sich seitlich in der Cloud zu bewegen.

In diesem Fall wurden die Ergebnisse an Travis CI und die zuständigen Dienstleister gemeldet, wobei einige eine breite Schlüsselrotation einleiteten. Um jedoch zu verstehen, wie Schwachstellen in Skripten von Drittanbietern es Cyberkriminellen ermöglichen, sich Zugang zu verschaffen und einen Angriff durchzuführen, müssen wir uns die Methoden ansehen, die Angreifer anwenden, um ihre Aktivitäten zu verbergen und eine Entdeckung zu vermeiden.

Lassen Sie uns dafür einen weiteren interessanten Angriff aufschlüsseln, der von Aquas Forschungsteam aufgezeichnet wurde, diesmal auf einen Apache Struts 2-Container.

Schritt 1: Erster Zugriff und Verteidigungsumgehung

Apache Struts 2 ist ein beliebtes Open-Source- plattformübergreifendes Framework für Webanwendungen, das von vielen Entwicklern in ihrer täglichen Arbeit verwendet wird. Das Team analysierte, wie Angreifer eine Schwachstelle in Apache Struts 2 ausnutzten, die Remote Code Execution (RCE) unter den Privilegien des Apache-Webservers ermöglicht.

Nachdem die Hacker eine HTTP-GET-Anforderung initiiert hatten, um zu prüfen, ob ein Server angreifbar ist, starteten die Hacker eine zweite HTTP-GET-Anforderung, die eine Ausführungsbefehlszeile enthielt, die ein Shell-Skript herunterlädt und in den Container dieser Organisation ausführt.

Nachdem der anfängliche Zugriffsangriff abgeschlossen ist, besteht das erste Ziel des Shell-Skripts darin, die Sicherheitsabwehr zu untergraben und den Boden für seine nächsten Aktionen zu bereiten. Neben dem Deaktivieren von Firewalls, dem Zulassen von Datenverkehr und dem Löschen von LD_PRELOAD führt das Skript mehrere Kill-Befehle aus, um konkurrierende Malware oder Prozesse wie Cryptominer und Cloud-Agenten zu eliminieren.

Nachdem alle diese Aufgaben erledigt sind, löschen die Angreifer als Nächstes Protokolldateien, um ihre Spuren zu verwischen und eine nachträgliche Entdeckung zu vermeiden.

Schritt 2: Ausführung

Nachdem die Hacker den Weg für den Gesamtangriff frei gemacht haben, richtet das Skript Variablen und eine „Get“-Funktion ein, die zum Herunterladen und Ausführen der wichtigsten Malware-Binärdatei – eines Cryptominers – verwendet wird. Diese Binärdatei wurde von UPX gepackt, um eine Erkennung durch Hashes zu vermeiden, und hat zwei Funktionen.

Neben der Durchführung von Kryptomining versucht es auch aktiv, mehr Kryptominer auf mehr Containerinstanzen auszuführen. Dazu sammelt er alle verfügbaren Anmeldeinformationen, die im Container selbst gespeichert sind, und verwendet eine Schleife, um eine Verbindung zu benachbarten Systemen herzustellen, damit er dasselbe Malware-Skript auf diesen seitlichen Systemen herunterladen und ausführen kann. Die Analyse, die wir bei diesem speziellen Angriff durchgeführt haben, ergab, dass die Malware einen massiven Scan durchführte, um offene SSH- (Port 22) und Redis-Ports (Port 6379) im internen Containernetzwerk zu finden, und über 24,000 Pakete an diese beiden Ports sendete.

Schritt 3: Nutzlast

Die Malware, die jetzt sicher im Container untergebracht ist, führt eine andere Instanz derselben Binärdatei mit einem anderen Prozessnamen aus und stellt eine Verbindung zum Command-and-Control-Server (C&C) der Angreifer her, um eine „Coinminer“-Variante herunterzuladen und auszuführen. Um die Krypto-Mining-Bemühungen zu unterstützen und zu verbessern, versuchte der Angreifer auch, ein MSR-Kernel-Modul zu laden, um die Gesamtgeschwindigkeit des Mining-Prozesses zu erhöhen.

Wachsende Risikofaktoren

Organisationen haben es mit modernen Bedrohungsakteuren zu tun, die immer nach neuen Wegen suchen, um bekannte Schwachstellen in Software von Drittanbietern auszunutzen. Im vergangenen Jahr stiegen die Fälle von Cryptomining-Malware um 300 %. Sobald eine Schwachstelle identifiziert wurde, können Angreifer Cyptominer-Malware auf ahnungslosen Organisationen installieren. Die Durchführung des Mining-Prozesses unter Verwendung der Verarbeitungsressourcen einer anderen Person ermöglicht es den Angreifern, profitable digitale Schätze zu generieren.

Angriffe auf Kryptowährungs-Mining-Software können zu erheblichen Leistungsproblemen bei Servern, Datenbanken und Anwendungsentwicklungs-Frameworks und sogar zu Denial-of-Service-Szenarien (DoS) führen.

Sobald jedoch ein erster Fuß in der Umgebung einer Organisation gefasst wurde, gibt es wenig, was schlechte Akteure daran hindern könnte, ihre Bemühungen auf andere höherwertige Vermögenswerte zu konzentrieren.

Die heutigen Angreifer verfeinern ständig ihre Taktiken, um ihre Kryptomining-Aktivitäten zu verbergen. Neben der Deaktivierung von Firewalls deaktivieren sie den nicht maskierbaren Interrupt, der auf nicht behebbare Hardwarefehler und System-Resets aufmerksam macht. Außerdem laden sie verschlüsselte und verschleierte Shell-Skripte herunter, um zu verhindern, dass Sicherheitstools ihre Absicht verstehen. Letztendlich ist es ihr Ziel, der Entdeckung so lange wie möglich zu entgehen und das Potenzial für eine Rückkehr zu maximieren.

Sicherung Ihrer Cloud-Umgebung

Organisationen stehen vor der großen Aufgabe, alle Workloads und Software, die in einer Cloud-Umgebung ausgeführt werden, im Auge zu behalten, insbesondere aufgrund der unerbittlichen Geschwindigkeit des modernen DevOps-Zyklus. Unternehmen sollten erwägen, die Zwei-Faktor-Authentifizierung für alle Benutzer durchzusetzen, Beschränkungen für den Zweigschutz festzulegen und gegabelte Pull-Anforderungen auf die Ausführung auf der CI-Plattform zu beschränken, um die Sicherheit zu verbessern. Neben dem Auffinden und Beheben bekannter CVEs und Sicherheitslücken ist die kontinuierliche Überwachung von Containern und die Fehlerbehebung bei verdächtigen Verhaltensmustern unerlässlich. Die Verwendung von Laufzeitanalysen mit Tools, die über integrierte Regelsätze verfügen, in Anwendungen von Drittanbietern wie Apache Struts 2 hilft dabei, Potenziale aufzuzeigen

Laufzeitangriffe und Exploits. Langfristig kann eine dedizierte Lösung, die den Zugriff Dritter in der Softwarelieferkette eines Unternehmens ordnungsgemäß regelt, dazu beitragen, solche Risiken in Zukunft zu vermeiden.