Das wachsende Risiko von Drittanwendungen: Sicher bleiben in der Cloud.

Ausführen von Anwendungen von Drittanbietern in a Cloud -Umgebung ist zu einem wachsenden Sicherheitsrisiko für Unternehmen geworden, das Workloads einem größeren Risiko aussetzt, insbesondere wenn die Software von Drittanbietern einige API-Funktionen für das öffentliche Web verfügbar macht. Der Mangel an Verwaltung, Kontrolle und Transparenz dieser Anwendungen von Drittanbietern und der Softwarelieferkette im Allgemeinen ist der Grund, warum Angreifer sie zunehmend ins Visier nehmen, um Informationen zu sammeln und Organisationen zu infiltrieren.

Die heutigen Cyber-Angreifer entwickeln ihre Techniken ständig weiter, was moderne Cloud-native Workloads zu einem sehr verlockenden Ziel macht. Neben der Ausnutzung von Web-APIs zur Entfesselung von Kryptomining-Kampagnen missbrauchen sie auch kostenlose Kontingentangebote beliebter Cloud-CI/CD-Plattformen, um Rechenleistung einfach in digitale Münzen umzuwandeln.

Tatsächlich hat das Forschungsteam von Aqua kürzlich Zehntausende von Benutzertoken aufgedeckt, die über die Travis CI-API offengelegt werden, die es jedem ermöglicht, auf historische Klartextprotokolle zuzugreifen. Es sind mehr als 770 Millionen Protokolle von Benutzern des kostenlosen Kontingents verfügbar, aus denen Sie problemlos Token, Geheimnisse und andere Anmeldeinformationen für beliebte Cloud-Dienstanbieter extrahieren können. Angreifer können diese sensiblen Daten verwenden, um massive Cyberangriffe zu starten und sich seitlich in der Cloud zu bewegen.

In diesem Fall wurden die Ergebnisse an Travis CI und die zuständigen Dienstleister gemeldet, wobei einige eine breite Schlüsselrotation einleiteten. Um jedoch zu verstehen, wie Schwachstellen in Skripten von Drittanbietern es Cyberkriminellen ermöglichen, sich Zugang zu verschaffen und einen Angriff durchzuführen, müssen wir uns die Methoden ansehen, die Angreifer anwenden, um ihre Aktivitäten zu verbergen und eine Entdeckung zu vermeiden.

Lassen Sie uns dafür einen weiteren interessanten Angriff aufschlüsseln, der von Aquas Forschungsteam aufgezeichnet wurde, diesmal auf einen Apache Struts 2-Container.

Schritt 1: Erster Zugriff und Verteidigungsumgehung

Apache Struts 2 ist ein beliebtes Open-Source- plattformübergreifendes Framework für Webanwendungen, das von vielen Entwicklern in ihrer täglichen Arbeit verwendet wird. Das Team analysierte, wie Angreifer eine Schwachstelle in Apache Struts 2 ausnutzten, die Remote Code Execution (RCE) unter den Privilegien des Apache-Webservers ermöglicht.

Nachdem die Hacker eine HTTP-GET-Anforderung initiiert hatten, um zu prüfen, ob ein Server angreifbar ist, starteten die Hacker eine zweite HTTP-GET-Anforderung, die eine Ausführungsbefehlszeile enthielt, die ein Shell-Skript herunterlädt und in den Container dieser Organisation ausführt.

Nachdem der anfängliche Zugriffsangriff abgeschlossen ist, besteht das erste Ziel des Shell-Skripts darin, die Sicherheitsabwehr zu untergraben und den Boden für seine nächsten Aktionen zu bereiten. Neben dem Deaktivieren von Firewalls, dem Zulassen von Datenverkehr und dem Löschen von LD_PRELOAD führt das Skript mehrere Kill-Befehle aus, um konkurrierende Malware oder Prozesse wie Cryptominer und Cloud-Agenten zu eliminieren.

Nachdem alle diese Aufgaben erledigt sind, löschen die Angreifer als Nächstes Protokolldateien, um ihre Spuren zu verwischen und eine nachträgliche Entdeckung zu vermeiden.

Schritt 2: Ausführung

Nachdem die Hacker den Weg für den Gesamtangriff frei gemacht haben, richtet das Skript Variablen und eine „Get“-Funktion ein, die zum Herunterladen und Ausführen der wichtigsten Malware-Binärdatei – eines Cryptominers – verwendet wird. Diese Binärdatei wurde von UPX gepackt, um eine Erkennung durch Hashes zu vermeiden, und hat zwei Funktionen.

Neben der Durchführung von Kryptomining versucht es auch aktiv, mehr Kryptominer auf mehr Containerinstanzen auszuführen. Dazu sammelt er alle verfügbaren Anmeldeinformationen, die im Container selbst gespeichert sind, und verwendet eine Schleife, um eine Verbindung zu benachbarten Systemen herzustellen, damit er dasselbe Malware-Skript auf diesen seitlichen Systemen herunterladen und ausführen kann. Die Analyse, die wir bei diesem speziellen Angriff durchgeführt haben, ergab, dass die Malware einen massiven Scan durchführte, um offene SSH- (Port 22) und Redis-Ports (Port 6379) im internen Containernetzwerk zu finden, und über 24,000 Pakete an diese beiden Ports sendete.

Schritt 3: Nutzlast

Die Malware, die jetzt sicher im Container untergebracht ist, führt eine andere Instanz derselben Binärdatei mit einem anderen Prozessnamen aus und stellt eine Verbindung zum Command-and-Control-Server (C&C) der Angreifer her, um eine „Coinminer“-Variante herunterzuladen und auszuführen. Um die Krypto-Mining-Bemühungen zu unterstützen und zu verbessern, versuchte der Angreifer auch, ein MSR-Kernel-Modul zu laden, um die Gesamtgeschwindigkeit des Mining-Prozesses zu erhöhen.

Wachsende Risikofaktoren

Organisationen haben es mit modernen Bedrohungsakteuren zu tun, die immer nach neuen Wegen suchen, um bekannte Schwachstellen in Software von Drittanbietern auszunutzen. Im vergangenen Jahr stiegen die Fälle von Cryptomining-Malware um 300 %. Sobald eine Schwachstelle identifiziert wurde, können Angreifer Cyptominer-Malware auf ahnungslosen Organisationen installieren. Die Durchführung des Mining-Prozesses unter Verwendung der Verarbeitungsressourcen einer anderen Person ermöglicht es den Angreifern, profitable digitale Schätze zu generieren.

Angriffe auf Kryptowährungs-Mining-Software können zu erheblichen Leistungsproblemen bei Servern, Datenbanken und Anwendungsentwicklungs-Frameworks und sogar zu Denial-of-Service-Szenarien (DoS) führen.

Sobald jedoch ein erster Fuß in der Umgebung einer Organisation gefasst wurde, gibt es wenig, was schlechte Akteure daran hindern könnte, ihre Bemühungen auf andere höherwertige Vermögenswerte zu konzentrieren.

Die heutigen Angreifer verfeinern ständig ihre Taktiken, um ihre Kryptomining-Aktivitäten zu verbergen. Neben der Deaktivierung von Firewalls deaktivieren sie den nicht maskierbaren Interrupt, der auf nicht behebbare Hardwarefehler und System-Resets aufmerksam macht. Außerdem laden sie verschlüsselte und verschleierte Shell-Skripte herunter, um zu verhindern, dass Sicherheitstools ihre Absicht verstehen. Letztendlich ist es ihr Ziel, der Entdeckung so lange wie möglich zu entgehen und das Potenzial für eine Rückkehr zu maximieren.

Sicherung Ihrer Cloud-Umgebung

Organisationen stehen vor der großen Aufgabe, alle Workloads und Software, die in einer Cloud-Umgebung ausgeführt werden, im Auge zu behalten, insbesondere aufgrund der unerbittlichen Geschwindigkeit des modernen DevOps-Zyklus. Unternehmen sollten erwägen, die Zwei-Faktor-Authentifizierung für alle Benutzer durchzusetzen, Beschränkungen für den Zweigschutz festzulegen und gegabelte Pull-Anforderungen auf die Ausführung auf der CI-Plattform zu beschränken, um die Sicherheit zu verbessern. Neben dem Auffinden und Beheben bekannter CVEs und Sicherheitslücken ist die kontinuierliche Überwachung von Containern und die Fehlerbehebung bei verdächtigen Verhaltensmustern unerlässlich. Die Verwendung von Laufzeitanalysen mit Tools, die über integrierte Regelsätze verfügen, in Anwendungen von Drittanbietern wie Apache Struts 2 hilft dabei, Potenziale aufzuzeigen

Laufzeitangriffe und Exploits. Langfristig kann eine dedizierte Lösung, die den Zugriff Dritter in der Softwarelieferkette eines Unternehmens ordnungsgemäß regelt, dazu beitragen, solche Risiken in Zukunft zu vermeiden.

Das Beste aus der Technik trifft sich im Mai auf der VivaTech

Viva Technologie • 10. April 2024

Als wahrer Treffpunkt für Wirtschaft und Innovation verspricht die VivaTech einmal mehr zu zeigen, warum sie zu einem unverzichtbaren Termin im internationalen Geschäftskalender geworden ist. Mit seiner wachsenden globalen Reichweite und dem Schwerpunkt auf entscheidenden Themen wie KI, nachhaltige Technologie und Mobilität ist VivaTech die erste Adresse für die Entschlüsselung aufkommender Trends und die Bewertung ihrer wirtschaftlichen Auswirkungen.

Warum OEMs die digitale Transformation vorantreiben müssen

James Smith und Chris Hanson • 04. April 2024

James Smith, Head of Client Services, und Chris Hanson, Head of Data bei One Nexus, erklären, warum es für OEMs von entscheidender Bedeutung ist, ihre Händlernetzwerke mit Informationen auszustatten, um neue Einnahmequellen zu erschließen und gleichzeitig die Kundenbeziehungen zu stärken, die zur Aufrechterhaltung der Loyalität erforderlich sind sich schnell verändernder Markt.

Ermöglicht „Farm to Fork“-Effizienz zwischen Supermärkten und Produzenten

Neil Baker • 03. April 2024

Heutzutage sind Verbraucher im gesamten Vereinigten Königreich mit einer Lebenshaltungskostenkrise konfrontiert. Daher sind viele Einzelhändler und Supermärkte bestrebt, ihre Kosten niedrig zu halten, um diese nicht an die Kunden weiterzugeben. Ein Bereich, der für viele Unternehmen zunehmend auf dem Prüfstand steht, ist die Frage, wie die Effizienz der Lieferkette verbessert werden kann. Das...

Bewältigung der Einhaltung gesetzlicher Vorschriften bei staatseigenen Einweggeräten

Nadav Avni • 26. März 2024

Unternehmenseigene Einweggeräte (COSU), auch dedizierte Geräte genannt, erleichtern Unternehmen und vielen Regierungsbehörden die Arbeit. Es handelt sich um leistungsstarke intelligente Geräte, die einen einzigen Zweck erfüllen. Denken Sie an intelligente Tablets, die für die Bestandsverfolgung, Informationskioske, Geldautomaten oder digitale Displays verwendet werden. Im staatlichen Umfeld unterliegen diese Geräte jedoch strengen gesetzlichen Compliance-Standards.

Vorteile cloudbasierter CAD-Lösungen für moderne Designer

Marius Marcus • 22. März 2024

Verabschieden Sie sich von den Zeiten umständlicher Desktop-Software, die uns an bestimmte Schreibtische fesselt. Stattdessen treten wir in eine neue Ära ein, die von Cloud-CAD-Lösungen angetrieben wird. Diese bahnbrechenden Tools bieten Designern nicht nur unübertroffene Flexibilität, sondern fördern auch die Zusammenarbeit und Effizienz wie nie zuvor!

Nutzung der IoT-Technologie zur Wiederherstellung gestohlener Fahrzeuge

Gareth Mitchell UK Partner Manager • 22. März 2024

Der Kampf zwischen Autodieben und denjenigen, die sich für die Verhinderung von Fahrzeugdiebstählen einsetzen, ist ein andauernder Kampf. Jeden Tag werden in Großbritannien durchschnittlich 159 Autos gestohlen, und die Täter sind oft professionelle Diebesbanden. Diese Zahl stellt im Jahr 20 einen Anstieg von 2022 % gegenüber dem Vorjahr dar. In diesem Spiel mit hohen Einsätzen spielt die Rolle...