natali_mis - stock.adobe.com

So können Unternehmen auf Cloud-basierte Angriffe reagieren

Längst nutzen Cyberkriminelle die Vorteile der Cloud für ihre Angriffe. Derlei IP-Adressen lassen sich nicht einfach blockieren. Welche Maßnahmen Sie trotzdem ergreifen können.

Auch Cyberkriminelle haben die Cloud für sich entdeckt, um dort ihre Attacken zu steuern und um die IP-Adressen zu verbergen und vor Gegenmaßnahmen zu schützen, von denen ihre Angriffe ausgehen.

So nutzen kriminelle Organisationen zum Beispiel immer häufiger Cloud-Infrastrukturen, wenn sie eine neue Kampagne starten, mit der Malware über verseuchte E-Mails verteilt werden soll. Wenn das anhängende Attachment oder der enthaltene Link geöffnet werden, nutzen die Angreifer dann Lücken in veralteter Software auf dem PC des Opfers, um den Rechner zu infizieren und um einen direkten Kanal zu dem C&C-Server (Command and Control) einzurichten.

Diese C&C-Server befinden sich immer häufiger in öffentlich zugänglichen Cloud-Infrastrukturen wie etwa AWS (Amazon Web Services) oder in der Google Cloud. Das hat für die Angreifer zum einen den Vorteil, dass sie die IP-Adresse dieses Servers nutzen können, ohne Informationen über sie in zum Beispiel einer WHOIS-Datenbank zu veröffentlichen. Die dabei genutzten Cloud-Instanzen registrieren und bezahlen sie mit gefälschten oder geklauten Konten und machen es damit praktisch unmöglich, den Angriff auf die echten Urheber zurückzuführen. Außerdem erschweren sie auf diese Weise Gegenmaßnahmen.

Maßnahmen gegen Cloud-basierte Angriffe

Welche Schritte können Unternehmen ergreifen, wenn sie zum Opfer eines solchen Angriffs werden? Auf keinen Fall sollten sie den gesamten IP-Bereich blockieren, von dem die Attacken ausgehen, weil sie damit immer wieder auch legitime Dienste desselben Cloud-Anbieters unterbrechen, die von ihnen genutzt werden. Natürlich ist es möglich, einzelne bei einem Angriff verwendete IP-Adressen zu sperren. Viele Kriminelle verwenden aber nicht nur eine einzige Adresse, sondern verfügen über zahlreiche Adressen, zwischen denen sie rotieren. So erschweren sie es, ihre Attacken wirksam zu verhindern. Trotzdem ist es ratsam, die dabei genutzten IP-Adressen auf eine Blacklist zu setzen und so Zugriffe darauf zu blockieren. In einigen Fällen werden die Adressen noch fest in der Malware codiert, so dass Blacklisting die von ihnen ausgehenden Angriffe stoppen kann.

Darüber hinaus können Sie weitere Maßnahmen ergreifen: Melden Sie die IP-Adressen, von denen Angriffe ausgehen, möglichst zügig an den jeweiligen Cloud-Anbieter. In den meisten Fällen wird er sich relativ schnell darum kümmern, die IP-Adressen untersuchen und davon ausgehende Angriffe unterbinden. Manchmal kann das aber etwas dauern. Seien Sie sich bewusst, dass diese Methode nicht immer funktioniert, da manche Provider das Problem nicht wirklich ernst nehmen und zu wenige Ressourcen bereitstellen, um dagegen vorzugehen.

Wenn der Cloud-Anbieter nicht nach einer kurzen Zeit reagiert hat, dann sollten Sie die IP-Adresse an einen Spezialisten für Threat Intelligence melden. International tätige Beispiele für diese Art von Unternehmen sind ThreatCrowd, Cisco Umbrella, Pulsedive und AlienVault OTX. Sie nehmen die gemeldeten Daten in ihre Threat Intelligence Feeds auf und warnen auf diese Weise andere Unternehmen vor ihnen, so dass sie den von ihnen ausgehenden gefährlichen Traffic ebenfalls blockieren können.

Außerdem ist es möglich, die Angriffe an das CERT (Computer Emergency Response Team) in dem Land zu melden, von dem sie ausgehen. Eine Übersicht für Deutschland finden Sie auf den Seiten des deutschen CERT-Verbunds. Lokale Organisationen haben in der Regel einen größeren Einfluss auf den Cloud-Provider und können eher erreichen, dass er sich um ein Problem kümmert. Zusätzlich können Sie versuchen, leitende Angestellte in dem Unternehmen via LinkedIn oder Xing zu kontaktieren, um schneller ihre Aufmerksamkeit zu erhalten. Die hier beschriebenen Vorgehensweisen sind in manchen Fällen effektiver als das Ausfüllen eines Standardformulars an den Support. Abhängig vom betroffenen Provider können Sie sich auch noch an seinen Upstream-Anbieter wenden.

Letztendlich ist es die Aufgabe des Hosting-Anbieters, eine missbräuchliche Nutzung seiner IP-Adressen zu verhindern, da es ja seine Infrastruktur ist, die dabei verwendet wird. Manche Anbieter erledigen das besser als andere. Immerhin können Sie anderen betroffenen Unternehmen Fall helfen, indem Sie die für die Angriffe verwendeten IP-Adressen als Teil Ihrer Gegenmaßnahmen an eine oder gleich mehrere auf Threat Intelligence spezialisierte Firmen melden.

Nächste Schritte

Gratis-eBook: Cloud-Risiken im Griff behalten

Angreifer nutzen Cloud-Dienste für DDoS-Attacken

Content Delivery Networks richtig schützen

Erfahren Sie mehr über Bedrohungen