Public-Cloud-Infrastruktur zieht Krypto-Miner an wie die Bienen den Bienenstock

Teilen auf facebook
Teilen auf twitter
Teilen auf linkedin
Teilen auf email
Teilen auf print
Teilen auf whatsapp
Bei Gesprächen mit vielen unserer Kunden, Interessenten und Partnern, die Cloud-Strategien eingeführt haben, zeigt sich ein gemeinsames Muster. Die meisten von ihnen haben ein Problem, bei dem ein IAM-Zugangsschlüssel kompromittiert wird, was dazu führt, dass ihre Cloud-Infrastruktur für Krypto-Mining-Aktivitäten missbraucht wird. Das ist beängstigend, wenn man bedenkt, dass man am Ende exponentielle Cloud-Kosten für den Zeitraum zahlt, bis der Verstoß entdeckt wird.

Was ist Krypto-Mining? Warum ist es eine Bedrohung?

"Das Mining von Kryptowährungen (Krypto-Mining) nutzt die Rechenleistung von Computern, um komplexe mathematische Probleme zu lösen und digitale Transaktionen zu verifizieren, und die Miner werden mit einer kleinen Menge an Cyberwährung belohnt."

Quelle : cyber.gov.au

Illegales Kryptomining = Kryptojacking

Cryptojacking ist ein Verbrechen und auch eine einfache Möglichkeit für Hacker, in der Public Cloud Geld zu verdienen; denn alles, was sie tun müssen, ist, einen Weg in die Cloud eines Kunden zu finden, eine Menge CPU-reicher Server mit hoher Kapazität für das Mining hochzufahren und so lange Geld zu verdienen, bis der unglückliche Kunde den Einbruch bemerkt (meist nachdem er eine alarmierende Rechnung vom Cloud-Anbieter erhalten hat).

Viele aktuelle Studien weisen darauf hin, dass 99% der Fehlkonfigurationen in der Cloud unbemerkt bleiben.

Diese häufig vorkommenden Fehlkonfigurationen sind auch warum die öffentliche Cloud eine Goldmine für Krypto-Miner ist. Diese Fehlkonfigurationen ausnutzend, haben Miner unbegrenzte CPU und Rechenleistung zur Verfügung.

Anatomie einer Cloud-Zugangsdatenverletzung

Wir haben kürzlich ein Interview mit einem Kunden geführt, der eine Verletzung des Service Account Key in der Google Cloud erlebte, was zu Krypto-Mining-Aktivitäten führte.

Wir werden diesen Vorfall in mehrere Schritte aufschlüsseln, um besser zu verstehen, wie Angreifer die durchgesickerten Anmeldeinformationen ausnutzen können, und vor allem, wie Unternehmen besser darauf vorbereitet sein können, dieses Szenario zu bewältigen (wenn es eintritt)

Der Vorfall

Cloud-Anbieter

  Ein Mitarbeiter hat versehentlich einen GCP Service Account Username/Key in seinem persönlichen GIT Repo gespeichert.

Kurz darauf erhielten sie eine E-Mail von Google, in der es hieß, dass eine Kompromittierung des Dienstkontos festgestellt worden war. In der E-Mail wurden die folgenden Details angegeben (ein lebensrettender Service, müssen wir sagen - denn er verkürzt die Erkennungszeit dramatisch).

In der E-Mail wurden das betreffende Dienstkonto und die URL des öffentlichen Github-Repos deutlich hervorgehoben. Sie empfahl außerdem zwei Schritte, darunter die Stilllegung des Dienstkontos, die unbedingt durchgeführt werden muss.

Aber denken Sie daran, Genau wie die Guten (Cloud-Service-Provider) scannen auch die BÖSEN ständig die GIT-Repos nach Code-Commits, die einen IAM-Zugangsschlüssel offenlegen. In dem Moment, in dem Sie einen Fehler machen, können Sie sicher sein, dass jemand diesen in Sekundenschnelle ausnutzen wird.

Untersuchung

Der Kunde kontaktierte den betreffenden Mitarbeiter und das persönliche GITHub Repo wurde unter Quarantäne gestellt. Weitere Untersuchungen im Git Repo ergaben keine unmittelbaren Indicators Of Compromise (IOC). Glücklicherweise begann einer der Cloud-Administratoren, sich die GCP-Projekte anzusehen, auf die das Service-Konto Zugriff hatte. Und siehe da, in diesem Projekt waren viele Hochleistungsserver in jeder Region gestartet.

  Unkontrolliert hätten diese VMs zu Zehntausenden von Dollar an Cloud-Kosten führen können.

Das ist das Ziel der Bergleute; die Wahrscheinlichkeit, dass die meisten Organisationen nicht über die Mittel oder Mechanismen verfügen, um diese Eindringlinge zu erkennen und darauf zu reagieren.

Es ist Geld, das auf dem Tisch liegt.

Was sollten wir tun, wenn mir/meiner Organisation so etwas passiert?

Alle Cloud-Anbieter empfehlen zwei Sofortmaßnahmen, die Unternehmen nach einem solchen Vorfall ergreifen sollten (siehe Bild oben).
Im Folgenden werden die beiden Schritte beschrieben
Schritt 1
Schritt #1 ist eine Sicherheitsmaßnahme, um weitere Schäden an Ihrer Cloud-Infrastruktur zu minimieren. Durch den Entzug aller Anmeldeinformationen wird verhindert, dass der Hacker/Bot nicht autorisierte Ressourcen aufspinnen oder weiteren Schaden anrichten kann.
Schritt #2 ist SCHWIERIG - Warum, fragen Sie?

Es gibt mehrere Faktoren. Die Dynamik der Public Cloud macht es sehr schwierig, eine baseline und gehärtete Umgebung zu haben.

Es gibt mehrere Regionen, die mit jedem Cloud-Anbieter verbunden sind. Ein geleaktes Dienstkonto kann die Berechtigung haben, Infrastruktur/Ressourcen in ALLEN dieser Regionen zu erstellen. In der Webkonsolenansicht eines Cloud-Anbieters gibt es immer eine regionale Ansicht Ihrer Ressourcen. Daher müssen Sie zwischen den Regionen wechseln, um festzustellen, ob in einer Region neue Rechenressourcen oder abrechenbare Ressourcen erstellt wurden.

Was wäre, wenn dieses kompromittierte Dienstkonto kontoübergreifende Berechtigungen hätte? Ein Albtraumszenario, wenn Sie Teil des Cloud-Administrationsteams sind. Es ist nicht einfach, wenn Sie Hunderte oder Tausende von Konten/Projekten haben.

Wie können wir das Risiko einteilen und eindämmen?

Stellen Sie zunächst sicher, dass Sie alle (oder aufgelisteten) Anmeldeinformationen für das kompromittierte Dienstkonto REVOKE.

Anstatt in Panik zu verfallen, sollten Sie als Nächstes die IAM-Protokolle des Cloud-Dienstanbieters verwenden, um die Aktivitäten zu verstehen, die von dem kompromittierten Dienstkonto ausgeführt wurden.

Wenn Sie GCP verwenden (wie in diesem Beispiel), prüfen Sie die Stackdriver-IAM-Audit-Protokolle. Filtern Sie nach dem betreffenden Service-Konto und suchen Sie nach allen jüngsten Aktivitäten. Die anschließende gefilterte Liste zeigt neu gestartete EC2-Instanzen (falls vorhanden) oder andere Aktivitäten zur Erstellung/Löschung/Änderung von Ressourcen durch dieses Servicekonto.

Wenn Sie unautorisierte Starts identifizieren, schalten Sie diese sofort ab und informieren Sie den Cloud-Anbieter, indem Sie ein Ticket erstellen. Der Cloud-Anbieter verzichtet in der Regel auf Kosten, die durch solche Eingriffe entstehen, wenn sie rechtzeitig gemeldet werden.

Kann es kompliziert werden?

Unbedingt - wenn Sie keine zentralisierte Protokollierung für alle Ihre Cloud-Konten haben. Dann wird es für den Cloud-Administrator zu einem Albtraum, sich durch all die Protokolldateien der verschiedenen Cloud-Konten zu wühlen und Kompromisse zu erkennen.

Im Fall von AWS kann es ziemlich chaotisch werden, da Angreifer typischerweise Role Chaining verwenden, um sich seitlich durch Ihre Cloud zu bewegen. Die Erkennung und Auswertung von Role-Chaining-Aktivitäten in Ihren Cloud-Konten und die Eingrenzung auf das Grundereignis ist komplex und zeitaufwändig.

In diesem Artikel haben wir das Beispiel des "Cryptojacking" angeführt und wie Crypto-Miner gängige Cloud-Fehlkonfigurationen ausnutzen und Public-Cloud-Rechenressourcen missbrauchen.

  JedochDie Verletzung eines Dienstkontos ist keineswegs auf Cryptojacking-Aktivitäten beschränkt. Wenn ein Eindringling erst einmal drin ist, kann er Ihrer Cloud-Infrastruktur katastrophale Schäden zufügen. Sie werden nach Ihren Kronjuwelen-Daten jagen und sie exfiltrieren oder etwas so Schlimmes tun, wie Ihre laufenden Produktionsserver zum Absturz zu bringen, wenn diesem Service-Konto Admin-Rechte gewährt wurden.

Schützen Sie Ihre Cloud vor Cryptojacking

Wir empfehlen die folgenden Schritte, um Ihre Cloud vor Kryptojacking-Aktivitäten zu schützen.

Wie kann C3M helfen, Ihre Cloud-Risiken zu minimieren?

Es gibt vier Schlüsselbereiche, in denen C3M helfen kann
Sichtbarkeit -
Sicherheit Governance
Berichterstattung
Automatisierung

Die öffentliche Cloud ist so konzipiert, dass sie inhärent sicher ist. Einfach sicher konfigurieren. Sie haben Fragen zur richtigen Konfiguration Ihrer Cloud? - Bitte wenden Sie sich an info@c3m.io und einer unserer Cloud Security SMEs wird eine KOSTENLOSE 30-minütige Sitzung mit Ihrem Team durchführen. Keine Verpflichtung erforderlich.

Verwandte Artikel