Schlagwort-Archive: Kryptowährungs-Miner

Supply Chain-Angriffe im Cloud Computing vermeiden

Originalartikel von Trend Micro

Sicherheit ist einer der wichtigen Aspekte, die Unternehmen berücksichtigen müssen, wenn sie auf Cloud-basierte Technologien setzen. Ganz oben auf der Liste der zu sichernden Ressourcen stehen Netzwerke, Endpunkte und Anwendungen. Um Betriebskosten zu optimieren, verlagern einige Organisationen ihre Backend-Infrastruktur in die Cloud oder betreiben ihre eigene firmeninterne private Cloud mit Cloud-basierten Lösungen. Doch wird dieser Ansatz vom Standpunkt der Architektur oder auch die Konfigurationen nicht korrekt durchgeführt, so kann das Backend Bedrohungen ausgesetzt werden und ein leichtes Ziel für Supply Chain-Angriffe darstellen. Die Folge sind der Verlust von Daten, Reputation und Vertrauen der Kunden.

In dem Whitepaper „Supply Chain Attacks in the Age of Cloud Computing: Risks, Mitigations, and the Importance of Securing Back Ends“ liefern die Sicherheitsforscher von Trend Micro einen Überblick über verschiedene Sicherheitsrisiken und Techniken zur Minimierung der Gefahren für DevOps.

Die Analysen beziehen sich auf konkrete Beispiele wie Jenkins (quelloffener Integrationsserver für Softwarekomponenten), Docker Container, Kubernetes (Orchestrierungs-Tool) und Cloud-basierten integrierten Entwicklungsumgebungen (IDE) wie AWS Cloud9 und Visual Studio Codespaces.

Authentifizierung und Access Control Lists (ACL)

Wird keine Authentifizierung aufgesetzt oder rollenbasierte Sicherheit mit ACL nicht angewendet, hat jeder, der in das System gelangen kann, Administratorzugriff. Diese Risiken werden anhand von Jenkins als Beispiel aufgezeigt.

Jenkins

Standardkonfigurationen in Backend-Systemen stellen selbst bei Anwendung der Authentifizierung ein erhebliches Sicherheitsrisiko dar. Jenkins Primary ist standardmässig in der Lage, Build-Aufgaben durchzuführen und erlaubt es Nutzern mit geringeren Privilegien, die Jenkins-Instanz vollständig zu übernehmen, einschliesslich der vertraulichen Daten, Job-Konfiguration und Source Code. Es ist kein Authentifizierungs- oder Access Control Lists (ACLs)-Modell vorhanden. Wird die Matrix-basierte Sicherheit von Jenkins angewendet, erhalten Nutzer irrtümlich den Eindruck, mit einer sicheren Konfiguration zu arbeiten. Um die Ausführung von Jobs auf dem Primary zu deaktivieren, könnte das Plug-In Authorize Project zusammen mit der Einstellung Shell executable in /bin/false auf der Seite „Configure System“ verwendet werden.

Des Weiteren sollten Entwicklerteams die Nutzung von Community Pug-Ins überdenken. Den Sicherheits-Advisories von Jenkins zufolge stehen die meisten Sicherheitslücken in der Plattform in Zusammenhang mit Plug-Ins, wobei es sich bei den meisten um die unsichere Speicherung von vertraulichen Daten sowie Sandbox-basierte Ausbruchmöglichkeiten handelt.

Einsatz von Docker Containern

Die Verwendung von Containern ist inzwischen sehr beliebt, da sie entweder Software bieten, die sofort einsatzbereit ist oder nur einer minimalen Konfiguration bedarf. Containerisierung hilft also bei schnellen Implementierungen und sorgt für eine stabile Umgebung.

Docker ist die bei Entwicklerteams am weitesten verbreitete Container Engine. Sie wird bei der Anwendungserstellung, beim Testen, Packaging sowie bei der Bereitstellung eingesetzt. Doch seit dem Siegeszug dieser Technologie fanden die Sicherheitsforscher viele Container Images auf Docker Hub, die bösartig waren oder für verschiedene Angriffe missbraucht wurden. Allein im Jahr 2020 wurden zahlreiche bösartige Container Images für Kryptowährungs-Mining genutzt. Diese Vorfälle unterstreichen die Empfehlung, nur offizielle Docker Images zu verwenden, um potenzielle Sicherheitsrisiken zu minimieren und Bedrohungen zu verhindern.

Bild 1. Infektionsablauf in einem Docker Image

Exponierte Docker-APIs erleichtern es zudem Angreifern, die Server zu nutzen, um Krypto-Miner zu installieren. Privilegierte Docker Container und exponierte Daemon-Ports könnten ebenfalls zu Angriffsflächen werden.

Kubernetes

Kubernetes ist ein Orchestrierungs-Tool zur für die skalierbare Bereitstellung und Verwaltung von Containern. Kubernetes-Dienste werden von vielen Cloud-Anbietern wie Microsoft Azure Kubernetes Service (AKS), Amazon Elastic Kubernetes Service (EKS) und Google Kubernetes Engine (GKE) angeboten. Solche Managed Services tragen dazu bei, das Risiko grösserer Fehlkonfigurationsprobleme zu verringern. Da dies jedoch für einige Umgebungen keine Option darstellt, können beim On-Premise Betrieb von Kubernetes-Clustern Risiken im Zusammenhang mit Fehlkonfigurationen auftreten.

Bild 2. Skizze eines Kubernetes Clusters und dessen Komponenten (Quelle: Kubernetes.io)

Die API spielt eine wichtige Rolle für die Kubernetes-Sicherheit. Kann eine Anwendung, die innerhalb eines Clusters eingesetzt wird, mit dem API-Server interferieren, muss dies als Sicherheitsrisiko betrachtet werden. Daher sollte die API nur den Geräten zur Verfügung gestellt werden, die sie benötigen, eine Massnahme, die durch die Implementierung einer rollenbasierten Zugriffskontrolle und durch die Gewährleistung des Prinzips der geringsten Privilegien erreicht werden kann.

In einem falsch konfigurierten Szenario kann eine einzige anfällige Anwendung als Einstiegspunkt für den gesamten Cluster dienen. Benutzer sollten sicherstellen, dass nur der kube-api-server-Zugriff auf den etcd (ein verteilter Schlüsselwert-Speicher für kritische Daten) hat, da sonst unbeabsichtigte Datenlecks oder unbefugte Änderungen auftreten könnten. Zudem sollte ein Pod (eine grundlegende Bereitstellungseinheit innerhalb eines Kubernetes-Clusters) mit weniger Privilegien betrieben werden, um eine Kompromittierung von Knoten oder des gesamten Clusters zu vermeiden.

Online IDEs

Die Online Cloud-Entwicklungsumgebungen stellen eine interessante Alternative zu den Desktop-Systemen dar.

Cloud IDEs bringen alle Fähigkeiten und Tools zusammen, die ein Softwareentwickler benötigt. Zu den beliebtesten IDEs gehören AWS Cloud9 und Microsofts Visual Studio Codespaces. Visual Studio Codespaces ist eine komplette Anwendung in einer vernetzten Umgebung, während AWS Cloud9 nur Backend Services auf einer verlinkten Maschine bietet, und zusätzlich Frontend Services innerhalb der AWS Cloud.

Die interne Backend-Implementierung variiert je nach Cloud-IDE-Anbieter, aber alle bieten eine Terminal-Schnittstelle zur Umgebung des Benutzers. In den meisten Fällen haben die Benutzer die volle Kontrolle über die Umgebung und sind gleichzeitig für die Gewährleistung einer sicheren Konfiguration verantwortlich. Fehlkonfigurationen können auftreten, wenn Ports für eine erweiterte Nutzung von Anwendungen exponiert werden, sollte der Cloud Provider Timeouts einsetzen, die das verlinkte Gerät bei längerer Inaktivität abschalten.

Im Gegensatz dazu stehen für Visual Studio Codespaces eine Reihe von Erweiterungen zur Verfügung. Diese eignen sich jedoch auch als potenzielle Angriffsfläche. Beispielsweise kann eine in mit einem Backdoor versehene Erweiterung zu einer Systemkompromittierung führen aufgrund fehlender Berechtigungsprüfungen während der Installation oder Nutzung. Um solche Risiken zu mindern, sollten Entwicklungsteams nur vertrauenswürdige Plug-Ins oder Erweiterungen installieren und ihre Umgebungen auf die neueste Version aktualisieren.

Auch sind die Fälle von bösartigen Browser Plug-Ins bekannt, und ihre Funktionalität lässt sich auf Online IDE-Entwicklung erweitern. Ein Proof-of-Concept hat gezeigt, wie ein Angreifer darüber Code stehlen kann. Auch ist bekannt, dass Banking-Trojaner Browser-Funktionen nutzen, um Zugangsdaten von Nutzern zu stehlen. Eine Alternative dazu könnte Code stehlen oder auf Tokens für die IDE zugreifen.

Empfehlungen

Mit zunehmender Komplexität der im Backend verwendeten Software steigt das Risiko von Fehlkonfigurationen. Deshalb sollten Entwicklerteams sich immer dessen bewusst sein, dass es keine sichere Umgebung gibt. Folgende Best Practices können die Backend-Sicherheit verbessern helfen:

  • Umsetzung des Prinzips der Mindestprivilegien: Beschränken der Kontoprivilegien in Cloud-Diensten, vor allem wenn diese an öffentliche Cloud-Anbieter gebunden sind. Darüber hinaus sollten die Berechtigungen und der Zugriff auf Tools limitiert sein, um zu verhindern, dass Angreifer in der Computerumgebung Fuss fassen.
  • Admin-Konten nicht für alltägliche Aufgaben nutzen: Der Admin sollte nur für Continuous Integration and Continuous Deployment (CI/CD)-Tools eingesetzt werden.
  • Checks durchführen auf veraltete oder angreifbare Bibliotheken im Code: Tools wie der OWASP Dependency-Check und Lösungen etwa von Snyk liefern kostenlose Drittanbieter-Überprüfung für quelloffene Projekte.
  • Compliance zu Industriestandards: So können etwa Kubernetes-Anwender die CIS Kubernetes Benchmark vom Center for Internet Security (CIS) checken, um kritische Dateien und Verzeichnisse zu monitoren. Container-Nutzer können das Gleiche mithilfe des Application Container Security Guide vom National Institute of Standards and Technology (NIST) erreichen.

Cloud-Sicherheitslösungen

Cloud-spezifische Sicherheitslösungen wie die Trend Micro™ Hybrid Cloud Security können zum Schutz von Cloud-nativen Systemen und ihren verschiedenen Schichten beitragen. Die Software bietet schlanke, automatisierte Sicherheit für die DevOps Pipeline mit mehreren XGenTM Threat Defense-Techniken. Unterstützt wird sie von Trend Micro Cloud One™ , einer Sicherheitsdienste-Plattform für Cloud-Entwickler. Sie bietet automatisierten Schutz für die CI/CD-Pipeline und Anwendungen. Sie trägt auch dazu bei, Sicherheitsprobleme früher zu erkennen und zu lösen und die Lieferzeit für die DevOps-Teams zu verkürzen. Die Plattform umfasst:

Der vollständige Report „Supply Chain Attacks in the Age of Cloud Computing: Risks, Mitigations, and the Importance of Securing Back Ends“ steht Interessierten zur Verfügung.

Kampf der Linux Kryptowährungs-Miner um Ressourcen

Originalbeitrag von Alfredo Oliveira, David Fiser

Das Linux-Ökosystem steht in dem Ruf, sicherer und zuverlässiger als andere Betriebssysteme zu sein. Das erklärt möglicherweise auch, warum Google, die NASA und das US-Verteidigungsministerium Linux für ihre Online-Infrastrukturen und -Systeme nutzen. Leider ist die weite Verbreitung der Linux-Systeme auch für Cyberkriminelle sehr attraktiv. Mittlerweile wird ein rücksichtsloser Kampf um Rechenleistung zwischen den verschiedenen Kryptowährungs-Mining- Programmen, die auf Linux-Systeme abzielen, ausgetragen. Der Beitrag stellt die Angriffskette dar, einschliesslich der Verschiebung der Eintrittspunkte unter anderem auf Docker-Umgebungen und Anwendungen mit offenen APIs.

Kryptowährungs-Mining ist an sich nicht bösartig, doch nicht alle, die nach der profitablen Kryptowährung schürfen, tun dies legal. Und da der Markt für Kryptowährungen mehr als 350 Milliarden $ übersteigt, handelt es sich dabei um wahre digitale Schätze.

Cyberkriminelle missbrauchen Kryptowährungs-Mining, indem sie Mining-Malware auf den Geräten ahnungsloser Benutzer installieren und deren Verarbeitungskapazitäten ohne Autorisierung nutzen. Auf diese Weise können sie mühelos profitieren, ohne in die notwendige Kryptowährungs-Mining-Infrastruktur investieren zu müssen.

In den letzten Jahren hat es einen massiven Anstieg bei Mining Malware gegeben, vor allem solcher für Monero. Diese bietet vollständige transaktionale Anonymität und Vertraulichkeit und ist damit ideal für den Missbrauch bei illegalen Aktivitäten geeignet. Cyberkriminelle versuchen, ihre potenziellen Einkünfte zu maximieren, indem sie sich auf leistungsstarke Geräte mit beträchtlichen Rechenkapazitäten konzentrieren und dort weitere Mining-Malware vernichten, um so die Plattformen und Geräte, die sie infizieren können, zu erweitern.

Die Sicherheitsforscher von Trend Micro analysierten KORKERDS, eine Linux Malware-Variante, die ein Rootkit mitbringt, das bösartige Prozesse vor den Monitoring-Tools auf einem infizierten System verbirgt. Eine weitere Linux-Malware Skidmap kann die Sicherheitseinstellungen auf einem infizierten Gerät herabsetzen und liefert böswilligen Akteuren den Backdoor-Zugriff.

Beide Varianten nutzen komplexe Techniken zum Missbrauch der Ressourcen eines Opfers. Nun gibt es eine Charakteristik, die immer häufiger anzutreffen ist und die die Forscher in ihren Honeypots aber auch in der Praxis gefunden haben – nämlich Routinen, die andere ähnliche Malware in infizierten Geräten, Systemen und Umgebungen deaktivieren und entfernen.

Eine der Routinen dieser Mining Malware besteht darin, nach einer Infektion nach weiteren Mining-Konkurrenten zu suchen. Entdeckt sie eine solche Malware, schaltet sie die Prozesse ihrer Konkurrenten ab, löscht ihre Spuren aus dem System und sorgt dafür, dass diese Konkurrenten nicht mehr laufen können.

Diese Mining-Samples zielen nicht nur auf Linux-Host-Rechner ab, die als persönliche Geräte verwendet werden, sondern auch auf leistungsstarke Tools, die Unternehmen im Rahmen von DevOps nutzen, wie etwa Docker und Redis.

Die analysierten Samples suchen nicht nur nach ressourcenintensiven Prozessen auf dem Host-Rechner, sondern auch nach Docker-Containern, die für Mining genutzt werden. Mit diesem Verhalten soll gewährleistet werden, dass die zuletzt eingesetzte Malware die Rechenleistung des Hosts nutzen kann.

Auch Cyberkriminelle haben ihren Horizont erweitert und greifen die AWS-Infrastruktur an, auf der mit Mining-Malware infizierte Docker- sowie Kubernetes-Systeme laufen und stehlen AWS-Anmeldedaten.

Bild. Die Infektionskette von Kryptowährungs-Mining Malware in offenen APIs

Ein häufiger Trend oder eine Technik, die in der Vergangenheit von Malware-Akteuren eingesetzt wurde, bestand darin, eine Schwachstelle in einem öffentlich gehosteten Dienst auszunutzen, um Privilegien für die Codeausführung zu erlangen. Diese Technik ermöglichte es einem Angreifer, ein Botnet zu erstellen oder einen Coinminer im System zu installieren. Eine neuere Technik ist immer häufiger anzutreffen, bei der nach offenen APIs gesucht wird, die es ermöglichen, sich Zugriff auf Container oder Privilegien für die Codeausführung zu verschaffen. Auch hat sich die Mining Malware von On-Premise-Geräten hin zu Containern und in die Cloud verlagert. Technische Einzelheiten zum Ablauf liefert der Originalbeitrag.

Schutz vor Mining Malware

Um Systeme, Geräte und Umgebungen zu schützen, sollten IT- und Systemadministratoren Best Practices befolgen, so etwa die konsequente Anwendung des Prinzips der Mindestprivilegien, regelmässiges Patching und Aktualisieren von Systemen, Einsatz von Mehrfaktorauthentifizierung, Nutzen von verifizierten Sicherheits-Extensions sowie Aufstellen von Zugangskontrollrichtlinien. Auch ist es von Bedeutung, API-Konfigurationen zu überprüfen, um sicherzustellen, dass Anfragen von einem festgelegten Host oder internen Netzwerk kommen. Des Weiteren sind regelmässige Scans des Hosts nach offenen Ports wichtig sowie eingeschränkter SSH-Zugang.

Unternehmen können sich auch mithilfe von Lösungen schützen wie Trend Micro™ Hybrid Cloud Security, die mit einer schlanken, funktionsstarken und automatisierten Sicherheit die DevOps Pipeline sichern kann. Sie liefert mehrere XGen  Threat Defense-Techniken für die Sicherheit von physischen, virtuellen und Cloud Workloads zur Laufzeit. Unterstützt wird die Lösung durch die Cloud One™ Plattform, die ein einheitliches, zentrales Dashboard für die hybriden Cloud-Umgebungen liefert sowie Network Security, Workload Security, Container Security, Application Security, File Storage Security und Conformity-Services.

Für Organisationen, die Sicherheit als Software für Runtime-Workloads, Container-Images sowie Datei- und Objektspeicher suchen, scannt Deep Security™, Deep Security Smart Check Workloads und Container-Images in jedem beliebigen Intervall in der Entwicklungs-Pipeline auf Malware und Schwachstellen, um Bedrohungen zu verhindern, bevor die Assets eingesetzt werden.

Zoom Installer bringt ein RAT mit

Originalartikel von Raphael Centeno, Mc Justine De Guzman und Augusto Remillano II

Online-Kommunikationssysteme haben sich in diesen Zeiten der Pandemie als sehr nützlich erwiesen. Leider stellen das auch Cyberkriminelle fest, und die Angriffe auf die verschiedenen Messaging-Apps, einschließlich Zoom, nehmen stetig zu. Die Sicherheitsforscher von Trend Micro entdeckten im April einen Angriff, der Zoom Installer nutzt, um einen Krypto-Miner zu verbreiten. Kürzlich gab es einen ähnlichen Angriff, der jedoch eine andere Schadsoftware ablegt: RevCode WebMonitor RAT (Backdoor.Win32.REVCODE.THDBABO). Achtung: Die Installer sind zwar legitim, doch die mit Malware gebündelten Programme kommen nicht aus offiziellen Quellen der Zoom-Anwendung, wie z. B. dem Zoom-eigenen Download-Center oder aus legitimen App-Stores wie Apple App Store und Google Play Store, sondern aus bösartigen Quellen.

Viele Malware-Varianten stellen sich als legitime Anwendung dar, um ihre böswilligen Absichten zu verbergen. Zoom ist nicht die einzige Anwendung, die für diese Art von Bedrohung eingesetzt wird. In diesem speziellen Fall haben Cyberkriminelle möglicherweise die legitimen Installationsprogramme mit Zugabe von WebMonitor RAT neu verpackt und diese Installer auf bösartigen Websites veröffentlicht.

Die Kompromittierung beginnt damit, dass der Nutzer die bösartige Datei ZoomIntsaller.exe aus bösartigen Quellen herunterlädt. ZoomInstaller.exe ist die Datei, die die Kombination aus einem nicht bösartigen Zoom-Installationsprogramm und RevCode WebMonitor RAT enthält. ZoomInstaller.exe legt dann eine Kopie seiner selbst namens Zoom.exe ab und öffnet den Prozess notepad.exe, um Zoom.exe auszuführen. Technische Einzelheiten zum Angriffsablauf enthält der Originalbeitrag.

Die Schadsoftware bricht ab, wenn sie in den folgenden virtuellen Umgebungen ausgeführt wird: kernel-basierte virtuelle Maschine, Microsoft Hypervisor, Parallels Hypervisor, VirtualBox, VMware und Xen Virtual Machine Manager. Auch wenn der Schädling eine Datei ähnlich der folgenden – Malware, Sample, Sandbox – findet, bricht er die eigene Ausführung ab. Da das System eine legitime Zoom-Version (4.6) heruntergeladen hat, wird der Nutzer nicht misstrauisch, obwohl sein System zu diesem Zeitpunkt bereits kompromittiert ist.

Erste Beobachtungen des Samples zeigten ein Fareit-ähnliches Verhalten. Bei näherer Betrachtung stellt sich jedoch heraus, dass es sich tatsächlich um RevCode WebMonitor RAT handelt, mit dem bestimmte Gruppen Berichten zufolge bereits Mitte 2017 in Hacking-Foren hausieren gingen. Das RAT (Remote Access Tool) erlaubt es Bedrohungsakteuren, die Kontrolle über kompromittierte Geräte zu erlangen und diese per Keylogging, Webcam-Streaming oder Screen-Captures auszuspionieren.

Empfehlungen

Videokonferenz-Apps lassen sich mit Hilfe folgender Best Practices schützen:

  • Installer nur aus offiziellen Quellen herunterladen, z.B. aus den eigenen Download-Zentren der Apps. Inoffizielle Download-Sites werden höchstwahrscheinlich von Cyberkriminellen eingerichtet, um ahnungslose Benutzer anzulocken.
  • Sichern der Videokonferenz-Apps. Dazu gehören u. a. die Vergabe von Passwörtern für Meetings, die Geheimhaltung von Meeting-Informationen, die Nutzung von Warteräumen und die Konfiguration von Host-Controls.
  • Stets die aktuelle Version der Apps verwenden. Damit werden mögliche Schwachstellen, die Angreifer ausnutzen können, geschlossen. Für Zoom ist es bald die Version 5.0.

Zusätzlich dazu ist es ratsam, eine Sicherheitslösung zu installieren, wie etwa die folgenden:

  • Trend Micro Apex One™ – bietet fortschrittliche automatisierte Detection & Response für eine wachsende Vielfalt an Bedrohungen.
  • Trend Micro XDR – setzt künstliche Intelligenz und Analytics ein für die Daten, die Trend Micro-Lösungen in Unternehmen sammeln, um eine schnellere und genauere Erkennung zu erreichen.

Auch empfiehlt sich ein mehrschichtiger Schutzansatz, um proaktiv bekannte und neue Bedrohungen an allen möglichen Eintrittspunkten zu erkennen und zu blockieren.

Ungesicherte Redis-Instanzen werden für Remote Code Execution missbraucht

Originalartikel von David Fiser und Jaromir Horejsi, Threat Researcher

Die Sicherheitsforscher von Trend Micro hatten kürzlich mehr als 8.000 ungesicherte Redis-Instanzen (weit verbreiteter Open-Source In-Memory-Schlüsselwert-Datenstrukturspeicher) entdeckt, die in verschiedenen Teilen der Welt betrieben werden, sogar welche in öffentlichen Clouds. Cyberkriminelle können diese Instanzen für Remote Code Execution (RCE) missbrauchen. Die bösartigen Dateien wandeln sie in Kryptowährungs-Mining Bots um und können auch weitere angreifbare Instanzen über ihre „wurmartigen“ Verbreitungsfunktionen infizieren.

Redis war den Entwicklern zufolge ursprünglich allein auf den Einsatz in vertrauenswürdigen Umgebungen ausgerichtet und beinhaltet seit der Version 4.0 eine Protected Mode-Konfiguration. Der Speicher soll gerade auf die neue Version Redis 6.0 upgedatet werden. Diese bringt neue Sicherheitsfähigkeiten mit, wie etwa Access-Control Lists (ACLs).

Momentan jedoch sind Redis-Instanzen ohne TLS-Verschlüsselung (Transport Layer Security) oder Passwortschutz anfällig für Angriffe, wobei Cyberkriminellen über 200 Befehle zur Verfügung stehen, sobald sie in die Umgebung eindringen. Gegenwärtig ist bei Redis die Authentifizierung nicht standardmäßig eingestellt. Und selbst wenn ein Passwort gesetzt ist, ist es wichtig, sich vor Augen zu halten, dass das Passwort stark genug sein sollte, um gegen Brute-Force-Angriffe resistent zu sein.

Die Sicherheitsforscher setzten mögliche Szenarien in einem Honeypot ein, um Angreifer anzulocken und überwachen zu können. Dabei geht es um den Missbrauch des config-Befehls oder der slaveof-Fähigkeit. Die Forscher konnten auch einige bemerkenswerte Malware-Samples sammeln, die in exponierten Redis-Instanzen über eine der oben genannten Methoden verbreitet wurden: einen plattformübergreifenden Shell-basierten Wurm, der Kryptowährungs-Miner installiert, oder Kinsing-Malware, die sowohl Scanning- als auch Backdoor-Fähigkeiten besitzt. Die technischen Einzelheiten dazu liefert der Originalbeitrag.

Fazit und Sicherheitsempfehlungen

Insbesondere im Umfeld der DevOps, sollten angemessene Sicherheitsmaßnahmen vorhanden sein. Dass exponierte Redis-Instanzen für Kryptowährungs-Mining eingesetzt werden können, ist möglicherweise nicht die einzige Art des Missbrauchs, da die Fähigkeit, Code auszuführen, sozusagen der „heilige Gral“ eines Angreifers ist.

Entwickler können die Umgebung über folgende Best Practices besser schützen:

  • Beim Betrieb von Software auf dem Server ist sicherzustellen, dass sie nicht unter root läuft. Auch beim Einsatz von Containern müssen Nutzer Best Practices befolgen und das Prinzip der Mindestprivilegien anwenden.
  • Die Software immer auf aktuellem Stand halten und starke Passwörter wählen. Keine Verbindung zum Internet ohne geeignete Sicherheitsmaßnahmen.
  • Die Überprüfung von Redis Logs zeigt gerade stattfindende Angriffe.

Cloud-Sicherheitslösungen von Trend Micro

Die Trend Micro Hybrid Cloud Security bietet in einer Lösung die Breite, Tiefe und Innovation, die für den Schutz der Cloud erforderlich sind und zusätzlich die benötigte Übersicht über führende Umgebungen wie Amazon Web ServicesMicrosoft AzureGoogle Cloud und Docker. Zu der Funktionalität zählen automatisierte Installation und Inbetriebnahme, breite API-Integration sowie Sicherheitstechnologie für betriebliche Effizienz und Compliance-Anforderungen.

Die Trend Micro Cloud One SaaS-Plattform Sicherheit für die Cloud-Infrastruktur in Echtzeit – mit optimalem Schutz und Unterstützung der Compliance für Workloads, Anwendungen, Container, serverlose Dateispeichersysteme und Netzwerke sowie die Übersicht über die hybriden Cloud-Umgebungen im Unternehmen. Deep Security und Deep Security Smart Check unterstützen Unternehmen durch das Scannen von Container-Images vor und während der Laufzeit.

Cloud One schließt auch Cloud One – Conformity mit ein. Die Lösung liefert automatische Kontrollmechanismen für AWS ElasticCache (einer In-Memory Datenspeicher-Technologie für Redis). Sie stellt sicher, dass Redis nicht über den Default Port läuft und bietet auch Datenverschlüsselugn in Transit und At-Rest.

Trend Micro™ Deep Security™ und Vulnerability Protection schützt Anwender über folgende Regeln:

  • 1010231 – Redis Cron Remote Code Execution Vulnerability
  • 1009967 – Redis Unauthenticated Code Execution Vulnerability

Prognose 2020: Die Risiken durch Supply Chain-Angriffe werden vorherrschen

Es ist kein Geheimnis, dass der Erfolg moderner Unternehmen zu einem guten Teil von ihren Lieferketten abhängt. Ein durchschnittliches Unternehmen unterhält möglicherweise hunderte unterschiedliche Partnerschaften – von solchen mit professionellen Service-Organisationen bis zu Software Providern und Transportunternehmen. Doch diese Partner können ein zusätzliches Risiko für das Unternehmen bedeuten, vor allem im Cyberbereich. In den aktuellen Vorhersagen für 2020 hebt Trend Micro einige der Schlüsselbereiche hervor, die für Organisationen gefährlich werden können. Dazu gehören die Partnerschaften mit Cloud- und Managed Service Providern (MSP), neue DevOps-Abhängigkeiten und Risiken für die Supply Chain im Zusammenhang mit den involvierten mobilen Mitarbeitern.

Ein neuer Aspekt eines bestehenden Risikos

Cyber-Supply Chain-Risiken per se sind nicht neu. Die berüchtigten NotPetya Ransomware-Angriffe von 2017 beispielsweise starteten über die Software Supply Chain, während Operation Cloud Hopper eine Angriffskampagne darstellte, die globale Unternehmen über deren MSPs attackierte.

Das Risiko infolge der Bedrohung kommt zu einem großen Teil durch die Veränderungen der Arbeitsweise im Unternehmen. Die digitale Transformation wird von vielen als ein wesentlicher Treiber für das Unternehmenswachstum gesehen, der es den Unternehmen ermöglicht, flexibel auf sich ändernde Marktanforderungen zu reagieren. In der Praxis bedeutet dies, dass Cloud und DevOps in den IT-Abteilungen des kommenden Jahrzehnts zunehmend im Mittelpunkt stehen.

Mehr Agilität, mehr Risiko?

Wie alle Veränderungen bringen auch diese neuen Risiken, die beachtet werden wollen. Denn die zunehmende Abhängigkeit von Cloud-Drittanbietern weckt bei Angreifern das Interesse für in diesen Konten gespeicherte Daten. Zu ihren Angriffsvektoren gehören etwa Code Injection, Missbrauch von Deserialisierungs-Bugs, Cross-Site Scripting und SQL Injection. Auch werden sie von Lücken profitieren, die durch die Fehlkonfiguration der Konten entstehen und durch die Daten im öffentlichen Internet exponiert werden.

Darüber hinaus werden Cyberkriminelle die Tatsache ausnutzen, dass DevOps-Teams sich auf Drittanbieter-Code in Container-Komponenten und Bibliotheken verlassen. Angreifer werden Microservices- und serverlose Umgebungen kompromittieren. Mit zunehmender Verbreitung dieser Architekturen werden sich auch Angriffe auf diese Architekturen häufen.

Service Provider werden ebenfalls ein steigendes Risiko darstellen, denn sie ermöglichen Angreifern einen viel höheren ROI, weil sie über einen einzigen Anbieter Zugang zu mehreren Kunden erhalten. Solche Bedrohungen gefährden Unternehmens- und Kundendaten und stellen sogar ein Risiko für Smart Factories und andere Umgebungen dar.

Schließlich kommt die Gefahr in der Supply Chain 2020 auch noch aus einer ganz anderen Richtung. Remote und Heimarbeit wird für viele Mitarbeiter zum Alltag, und Hacker werden diese Umgebungen als bequemen Startpunkt für das Eindringen in Unternehmensnetzwerke nutzen. Diese Mitarbeiter müssen als Teil ganzheitlicher Risikomanagement-Strategien für Unternehmen betrachtet werden, unabhängig davon, ob sie sich über nicht gesicherte öffentliche WLAN-Hotspots oder zu Hause anmelden oder ob Fehler im Smart Home Lücken offenlassen.

Empfehlungen für mehr Sicherheit

Auf CISOs kommen durch den rapiden technologischen Wandel harte Zeiten zu. Dabei ist es entscheidend wichtig, Teams mit den geeigneten Tools und Strategien auszustatten, um den Risiken durch Drittanbieter und anderen Bedrohungen zu begegnen. Die Sicherheitsforscher geben folgende Empfehlungen aus:

  • Verbesserung der Sorgfaltspflicht von Cloud-Anbietern und anderen Service Providern,
  • Durchführung regelmäßiger Schwachstellen- und Risikobewertungen auch für die Software von Drittparteien.
  • Investitionen in Sicherheitstools zur Überprüfung auf Schwachstellen und Malware in Komponenten von Drittanbietern
  • Einsatz von Cloud Security Posture Management (CSPM)-Tools, um das Risiko von Fehlkonfigurationen zu minimieren.
  • Überprüfen der Sicherheitsrichtlinien für Home- und Remote-Mitarbeiter.