Cybercrime als Businessmodell

Der gezielte Missbrauch von Cloud-Strukturen lohnt sich finanziell. Wie bereits berichtet, holen neben den vielfältigen Ransomware-Angriffen besonders Cryptominer in der Verbreitung stark auf. Während Ransomware als punktuelle und selbstzerstörende Aktion ausgelegt ist, verhalten sich Cryptominer unauffällig, um möglichst dauerhaft zu bleiben. Die Rechenleistung der Opfersysteme wird genutzt, um Kryptowährungen zu errechnen.

Laut Verizon Data Breach Report 2020 waren 86% der Datenschutzverletzungen finanziell motiviert und wurden dazu meistens von externen, organisierten Angreifern ausgeführt.[1] Diese Entwicklung hat nun eine Evolution erfahren: Die Angreifer sind auf der Suche nach weiteren möglichen Zielen für Crypto-Mining-Angriffe bei Container-basierenden Cloud-Ressourcen fündig geworden.

Effiziente Docker-Umgebungen als neues Ziel

Docker ist eine spezielle Cloud-Umgebung, die mit sogenannten Containern arbeitet. Im Vergleich zu herkömmlichen Virtualisierungslösungen ist diese Variante besonders schlank. Gemeinsame Bereiche wie Betriebssystem, Kernel und Bibliotheken werden von allen Gästen benutzt und müssen daher nur einmal auf einem System vorhanden sein. In den Containern befinden sich nur spezifische Programme und Code, ohne den Ballast des gesamten Betriebssystems. So bleiben sie schlank und können in kürzester Zeit gestartet und beliebig beendet werden.

Auf einem Docker-Hostsystem können unzählige Instanzen laufen und sich nach Last und Bedarf sehr rasch und dynamisch verändern. Dieser Vorteil wird von Kriminellen verstärkt ausgenutzt, um in der Vielzahl der Instanzen eigene Container zu „verstecken“, die Cryptomining betreiben.

Studie ergab Steigerung der Angriffe um 250%

Das Unternehmen Aqua Security, das sich auf die Betriebsunterstützung dieser Cloud-Umgebungen spezialisiert hat, veröffentlichte nun eine Studie über aktuelle Schadsoftware und Angriffsstrategien. [2] Mit sogenannten Honeypots, also Systemen, die absichtlich Schwachstellen beinhalten, wurden Angreifer angelockt und ein Jahr lang Attacken beobachtet und ausgewertet. Ausgehend von fünf Attacken pro Tag auf ein System im Jahr 2019 zeigte sich eine Zunahme auf bis 29 zu Attacken im Jahr 2020.

Ausgenutzt wurden meist bekannte Schwachstellen auf den Container-Host-Systemen, um danach zu 95% eigene Gast-Container mit Cryptomining-Routinen zu starten. Die Attacken selbst waren gemischt, zu Beginn waren vermehrt „Amateur“- Angriffe an der Tagesordnung, im Laufe der Zeit hat jedoch eine deutliche „Professionalisierung“ stattgefunden. Aktuell werden vielfältige Methoden und Strategien verwendet, um diese Systeme möglichst unauffällig zwischen vielen Kundensystemen zu platzieren und einer Entdeckung zu entgehen. Als Kryptowährung wurde fast immer „Monero“ erzeugt, die im Gegensatz zu Bitcoin deutlich anonymer und daher schwerer nachzuverfolgen ist.[3]

Rechnet sich Crypto-Mining?

Die beobachteten Systeme brachten dank Ressourcen-Diebstahl im Jahr ca. 8.000 US-Dollar ein. Mit einer entsprechenden Anzahl solcher Systeme lassen sich leicht sechsstellige Beträge erreichen. Vermehrte Cloud-Systeme führen bereits zu einer verstärkten Verbreitung an Crypto-Minern – Sicherheitsverantwortliche sollten diese Gefahr daher im Blick behalten.

Aktuelle Malware-Varianten sind in der Lage, aktiv der Entdeckung zu entgehen, um sich möglichst lange auf dem Zielsystem zu halten. Angepasste Namen der Instanzen oder das Nachladen der Schadsoftware waren nur zwei der beobachteten Methoden. Auch wenn durch das Cryptomining auf den ersten Blick kein Schaden zu erkennen ist, entsteht durch die zusätzlich verbrauchten Ressourcen ein langfristig finanzieller Nachteil für die Betroffenen. Vereinzelte Systeme beinhalteten auch Scripts, die die Teilnahme an Denial-of-Service-Angriffen ermöglichen.

Angriffsstrategien und mögliche Gegenmaßnahmen

Die beobachteten Entwicklungen zeigen, wie wichtig es ist, auch in öffentlichen Cloud-Systemen genaue Kontrollen der darunterliegenden Infrastruktur und genutzten Ressourcen einzuführen. Die grundlegenden Hauptsysteme sollen unbedingt aktualisierte Software verwenden, der Managementzugang beschränkt und gut überwacht werden sowie alle einzelnen Instanzen einer regelmäßigen Kontrolle unterliegen.

Die Angreifer haben ihre Methoden im Laufe des Jahres schnell weiterentwickelt. Wurde zu Beginn einfach nach Cloud-Servern mit schwachen Passworten gesucht, folgte bald das Ausnützen von Management- und Softwareschwachstellen der Docker-Umgebung. Die letzte Entwicklung greift die Versorgungskette selbst an: Es wurden vorgefertigte Container-Templates mit gut versteckten Cryptomining-Scripts in öffentliche Bibliotheken im Internet gefunden. Werden diese vorgefertigten infizierten Instanzen produktiv eingesetzt, kann ein solches System lange Zeit unbemerkt laufen.

Verwenden Sie daher keine fertigen Container-Instanzen aus unsicheren Quellen, sondern am besten nur selbst erstellte und geprüfte Systeme. Die Schadsoftware ist inzwischen so ausgeklügelt, dass sie relevanten und verdächtigen Code erst nach der Inbetriebnahme nachlädt, um der Entdeckung möglichst zu entgehen. Entsprechend wichtig ist es, auch die Zugriffe vom Server selbst in Richtung Internet einzuschränken, gut zu überwachen und auf kleinste Auffälligkeiten zu reagieren, die auf Cryptominer hinweisen könnten.

[1] https://enterprise.verizon.com/resources/reports/dbir/

[2] https://info.aquasec.com/hubfs/Cloud%20Native%20Security%20Threat%20Report%2009-2020/Aqua_Security_Cloud_Native_Security_Threat_Report_CISO_Brief.pdf

[3] https://www.monero.how/how-does-monero-privacy-work