Romolo Tavani - stock.adobe.com
Cloud-Schadsoftware: Arten und Schutzmaßnahmen
Cloud-Schadsoftware gehört inzwischen zu den etablierten Bedrohungen. Unternehmen steht aber eine wachsende Zahl von Tools zur Verfügung, um dem Risiko zu begegnen.
Cloud-Schadsoftware ist eine weitere Kategorie neben den Würmern, Viren, Spyware und anderer bösartiger Software, mit denen Unternehmen zu kämpfen haben. Das Phänomen ist nicht neu, sondern nimmt seit mehr als einem Jahrzehnt zu. Der Banking-Trojaner SpyEye wurde zum Beispiel 2011 in Amazon S3-Buckets gehostet. Der Cloud-Sicherheitsanbieter Netskope berichtet 2021 (PDF) , dass 68 Prozent aller Malware-Downloads ihren Ursprung in Cloud-Anwendungen haben.
Grund genug, einen Blick auf die unterschiedlichen Ausprägungen von Cloud-Schadsoftware zu werfen und wie man sich davor schützen kann.
Arten von Malware in der Cloud
Wenn von Schadsoftware in der Cloud die Rede ist, geht es prinzipiell um die beiden folgenden Kategorien:
- Malware, die die Cloud für die Bereitstellung und Kommunikation nutzt (Command and Control); und
- Schadsoftware, die explizit auf Ressourcen in der Cloud abzielt.
Moderne Schadsoftware fasst über Cloud-Dienste auf verschiedene Weise Fuß. Erstens werden viele Arten von Malware in Cloud-Speicherumgebungen gehostet, entweder in speziellen Diensten wie Dropbox oder Box oder in Speichereinheiten in IaaS- oder PaaS-Clouds. Diese öffentlich zugänglichen Speicherkonten oder -knoten befinden sich häufig in den Umgebungen bekannter Cloud-Service-Provider (CSP), um die Wahrscheinlichkeit zu minimieren, dass Inhaltsfiltersoftware die Hosting-Domäne blockiert. Vor allem Ransomware wird häufig als eine in der Cloud gehostete Bedrohung genannt.
Zweitens hosten viele Malware-Varianten ihre Command-and-Control-Infrastruktur in der Cloud, da die meisten Unternehmen den Datenverkehr zu AWS, Azure, Google Cloud Platform und anderen großen CSPs nicht explizit blockieren.
Drittens können einige Arten von Schadsoftware in DDoS-Kampagnen eingesetzt werden, bei denen in der Cloud gehostete Systeme unter der Kontrolle eines Angreifers verwendet werden, um große Mengen an Datenverkehr an die Opfer zu senden. Diese Angriffe können auch auf kompromittierte Systeme in Cloud-Kundenkonten zurückzuführen sein.
Gleichzeitig gibt es neue Malware-Varianten, die auf Cloud-Dienste und -Workloads abzielen. Zu den bekanntesten gehören Kryptowährungs-Miner, die auf Cloud-basierte VMs und Container-Workloads abzielen. Diese Malware-Typen scannen exponierte APIs, um festzustellen, ob eine von ihnen ausgenutzt werden kann, um die Installation und Ausführung auf Workloads zu ermöglichen. Sobald dies geschehen ist, schürfen die Angreifer Kryptowährungen für ihren Profit.
Trend Micro berichtet, dass eine Reihe von koordinierten Angreifergruppen exponierte Cloud-Ressourcen und -Dienste kompromittieren und dann Kryptowährung schürfen, indem sie Techniken wie SSH-Brute-Forcing, die Fernausnutzung anfälliger Dienste und die Ausgabe von Befehlen über exponierte APIs einsetzen.
Andere auf die Cloud ausgerichtete Malware bettet bösartige Dateien in VM-Vorlagen ein, um sie weiter zu verbreiten und zu erhalten - eine Technik, die bei zahlreichen Gelegenheiten von der Kryptomining-Angreifergruppe TeamTNT beobachtet wurde. Eine weitere verbreitete Cloud-Malware umfasst Angriffe über kompromittierte Plug-ins und Module auf Cloud-Anbieter-Marktplätzen - eine Technik, mit der Daten aus SaaS-Bereitstellungen gestohlen oder in PaaS- und IaaS-Konten eingebettet werden können. Es gibt unzählige Varianten dieser Angriffe.
Sich vor Cloud-Schadsoftware schützen
Dankenswerterweise lässt sich Cloud-Malware erkennen und abwehren. Unternehmen sollten Folgendes tun:
- Verschlüsseln Sie alle in der Cloud gespeicherten Daten. So können Sie verhindern, dass Daten offengelegt oder kompromittiert werden, wenn Cloud-basierte Malware auf Konten und Workloads abzielt.
- Starke Authentifizierung für alle Cloud-Benutzerkonten voraussetzen. Starke Passwörter und mehrstufige Authentifizierung verhindern, dass Cloud-Konten durch Malware-Kampagnen kompromittiert werden.
- Sichern Sie Cloud-Workloads und Daten. Idealerweise werden Workload-Images und Datenspeicher in einem separaten Konto oder Abonnement gesichert und repliziert, wenn möglich. Dies trägt dazu bei, eine Vielzahl von Cloud-basierten Malware-Techniken zu entschärfen.
- Implementierung einer netzwerk- und identitätsbasierten Isolierung und Segmentierung. Es gibt eine Reihe von Cloud-orientierten Segmentierungstaktiken; Unternehmen sollten die angreifbare Fläche innerhalb eines bestimmten Kontos oder Netzwerksubnetzes so weit wie möglich reduzieren.
- Implementierung von Tools und Diensten zur Überwachung des Netzwerkverhaltens. Alle großen IaaS-Clouds bieten den Kunden Netzwerkflussdaten an. Diese Informationen können zusammengefasst und analysiert werden, um Indikatoren für Seitwärtsbewegungen und Command-and-Control-Verkehr zu erkennen.
- Nutzen Sie Tools und Erkennungstechnologien von Cloud-Anbietern. Neben der Protokollierung von Ereignissen und dem Senden dieser Daten an eine zentrale Analyseplattform bieten einige Cloud Service Provider Technologien zur Erkennung von Malware an, die Indikatoren für Malware-Infektionen oder Verhaltensweisen aufdecken können. Microsoft beispielsweise bietet in einer Reihe seiner Microsoft-365-Dienste Funktionen zur Malware-Erkennung an.