Erkennung von Cyber-Bedrohungen in der Cloud

Analyse eines realen Cloud-Angriffs

Der APT10-Gruppe wird eine taktische Kampagne mit dem Namen „Operation Cloud Hopper“ zugerechnet, eine globale Serie von nachhaltigen Angriffen auf CSPs und deren Kunden. Diese Angriffe zielten darauf ab, Zugang zu sensiblen intellektuellen und Kundendaten zu erhalten. US-CERT stellte fest, dass ein entscheidendes Merkmal der Operation Cloud Hopper darin bestand, dass die Angreifer beim Zugang zu einem CSP die Cloud-Infrastruktur nutzten, um von einem Cloud-Mieter zum anderen zu gelangen. Damit gelang es ihnen, sich Zugang zu sensiblen Daten in einer Vielzahl von Regierungs- und Industrieeinheiten in den Bereichen Gesundheitswesen, Fertigung, Finanzen und Biotechnologie in mindestens einem Dutzend Ländern zu verschaffen.

Der Angriffslebenszyklus von Cloud Hopper

Bei der Operation Cloud Hopper nutzten die Angreifer zunächst Phishing-E-Mails, um Konten mit Zugriff auf CSP-Administrationsdaten zu kompromittieren. Dies ist die häufigste Infektionsmethode für jeden Angriff und immer noch der einfachste Weg, um den erstmaligen Zugriff auf ein Netzwerk zu erhalten. Der Angreifer setzt Malware ein, die die notwendigen Zugangsdaten sammelt, um direkt in die CSP- und Client-verwaltete Infrastruktur einzudringen.

Anzeige

Sobald der Zugriff auf die Managementinfrastruktur erreicht ist, kann PowerShell für Befehlszeilen-Skripte verwendet werden, um die Umgebung auszukundschaften und Informationen zu sammeln. Diese werden dann für die seitliche Bewegung verwendet, um Zugriff auf zusätzliche Systeme zu erhalten. Die Angreifer setzten ebenso kompromittierte Zugangsdaten ein, um Sicherheitsgrenzen zu überschreiten, und nutzen Cloud Service Provider effektiv als Schritt, um Zugang zu Geschäftsdaten mehrerer Unternehmen zu erhalten. Um eine dauerhafte Konnektivität zur Cloud-Infrastruktur zu gewährleisten, falls ein Administratorkonto nicht mehr funktionierte, installierten die Angreifer Fernzugriffstrojaner für Command-and-Control zum Spoofing legitimer Domains.

Zum Einsatz kam Open-Source-Malware „von der Stange“, die zuvor bereits bei vielen Angriffen wie Poison Ivy und PlugX eingesetzt wurde. Viele der Systeme, die mit Fernzugriff kompromittiert wurden, waren nicht geschäftskritisch, so dass sie verwendet werden konnten, um die seitliche Bewegung fortzusetzen und die Erkennung durch Systemadministratoren zu vermeiden.

Die letzte Phase der Operation Cloud Hopper war die Datenexfiltration von geistigem Eigentum. Die Daten wurden gesammelt, komprimiert und aus der CSP-Infrastruktur in die von den Angreifern kontrollierte Infrastruktur exfiltriert.

Anzeige

Da CSPs die Verantwortung in den verwalteten Infrastrukturen übernehmen, nimmt das Maß an Kontrolle und Transparenz, das die Cloud-Mieter beibehalten, ab. APT10 nutzte diese verringerte Transparenz und die Vorteile von Zugangsdaten und Systemen, über die ein Zugriff sowohl auf CSP- als auch auf Unternehmens-Infrastrukturen möglich war.

Cloud-Mieter haben keine Transparenz oder Kontrolle in der CSP-Infrastruktur selbst. Daher ist es eine große Herausforderung, Angreifer zu überwachen und zu erkennen, die auf ein System zugreifen und sich dann schnell innerhalb der CSP-Infrastruktur bewegen, um auf ein anderes System zuzugreifen.

Es ist wichtig zu beachten, dass die Komplexität hybrider Umgebungen, in denen CSPs und lokale Systeme involviert sind, es schwierig macht, Probleme wie gestohlene Zugangsdaten oder Seitwärtsbewegungen von Angreifern von einem Cloud-Mieter zu einem CSP und dann zu einem zweiten Cloud-Mieter adäquat anzugehen. Ein sorgloser und unaufmerksamer Cloud-Mieter kann das Risiko für andere Cloud-Mieter erhöhen, die eine größere Sorgfalt walten lassen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Shared Responsibility: Modell der gemeinsamen Verantwortung

Die Sicherstellung von Fähigkeiten zur Erkennung und Reaktion auf Bedrohungen in Cloud-Umgebungen beginnt mit einem grundlegenden Verständnis des Modells der gemeinsamen Verantwortung und der Auswirkungen, die das Modell auf das Sicherheitsmanagement und die Überwachungsfunktionen hat.

Die Sicherheit von Cloud-Services basiert auf einer Partnerschaft und gemeinsamen Verantwortung zwischen Cloud-Mietern und dem CSP. Der CSP ist für die Cloud-Plattform und die physische Sicherheit seiner Rechenzentren verantwortlich. Die Mieter besitzen ihre Cloud-Daten und Identitäten, die Verantwortung für ihren Schutz, die Sicherheit der lokalen Ressourcen und die Sicherheit der Cloud-Komponenten, über die sie die Kontrolle haben. CSPs bieten Sicherheitskontrollen und -funktionen zum Schutz von Daten und Anwendungen, und der Grad der Verantwortung des Mieters für die Sicherheit richtet sich nach der Art der Cloud-Services.

Die Höhe und Ausgewogenheit der Kontrolle durch CSPs und Cloud-Mieter hängt vom verwendeten Computing-Modell ab. Das folgende Modell, das von Microsoft für Azure bereitgestellt wird, veranschaulicht den Grad der gemeinsamen Verantwortung auf der Grundlage einer Cloud-Plattform.

Bei On-Premises-Bereitstellungen handelt es sich um Rechenzentren, die eine virtualisierte Infrastruktur nutzen, die sich im Besitz des Unternehmens befindet. In diesem Modell ist ein Unternehmen für den gesamten Security Stack verantwortlich, von physischen Geräten bis hin zu Daten.

Ein virtuelles Infrastruktur-as-a-Service (IaaS)-Modell für virtuelle Rechenzentren repliziert bestehende interne Rechenzentren. In diesem Fall ist eine physische Trennung der Hardware nicht möglich und erfordert Fähigkeiten auf Hypervisor-Ebene zum Erstellen von Sicherheitszonen und für den Fernzugriff.

Bei der Wahl zwischen der Verwaltung der Infrastruktur in einer privaten oder öffentlichen Cloud entscheiden sich die meisten Unternehmen für eine hybride Cloud, eine Kombination aus privater und öffentlicher Cloud mit gemeinsamen Ressourcen und Verteilungskomponenten. Normalerweise ist die kritische Backend-Infrastruktur privat und der Zugriff und die Verteilung öffentlich. Sicherheits- und Compliance-Bedenken haben bei virtualisierten Rechenzentrums- und Cloud-Bereitstellungen oberste Priorität. Zu den Sicherheitsanforderungen für virtualisierte Rechenzentren und Clouds gehört die Möglichkeit, virtualisierte Umgebungen zu überwachen und gleichzeitig die höchste Kapazität und Leistung der VM-Hosts aufrechtzuerhalten. Zu den Techniken gehören Hypervisor-basierte zustandsorientierte Firewalls, Netzwerkerkennung und virtualisierungsspezifischer Endpunktschutz.

In einem Plattform-as-a-Service (PaaS)-Modell werden Anwendungen auf bestehenden ausgelagerten Plattformen installiert und verwaltet. Ein Server kann für den exklusiven Zugriff bereitgestellt werden oder ein Server wird von mehreren Anwendungen gemeinsam genutzt.

Vertrauliche Informationen können anderen Benutzern oder dem Dienstanbieter zugänglich gemacht werden, da keine Kontrolle über die vorhandene Hardware besteht. Die Kontrollen müssen auf die Daten innerhalb der Anwendungen und Datenbanken unter Verwendung von Verschlüsselung und externer Schlüsselverwaltung für virtuelle Umgebungen angewendet werden.

Mit Software-as-a-Service (SaaS) werden Drittanbieteranwendungen wie Salesforce genutzt, um einen bestimmten Service bereitzustellen. Die Daten werden auf dem Backend der Anwendungsanbieter mit Hilfe von Zugriffskontrollen gespeichert.

Unternehmensanwendungen unterstützen nun die Integration mit Active Directory über ADFS (Active Directory Federation Services) und SAML (Security Assertion Markup Language) zur Kommunikation. Es müssen Kontrollen für die Authentifizierung und das Zugriffsmanagement sowie die Überwachung vorgesehen werden, um sicherzustellen, dass das Unternehmen die Kontrolle über die Nutzung dieser Anwendungen behält.

Wichtige Schlussfolgerungen

Bei der Operation Cloud Hopper, dem Angriff der APT10-Gruppe, war die Methode des anfänglichen Eindringens Cloud-spezifisch, aber das Angriffsverhalten innerhalb dieser Cloud-Umgebungen war das gleiche wie in privaten Clouds und physischen Rechenzentren. Alle Angriffe müssen nämlich einem bestimmten Angriffslebenszyklus folgen, um erfolgreich zu sein, insbesondere, wenn das Ziel die Datenexfiltration ist. Die Verhinderung einer Kompromittierung wird immer schwieriger, aber das Erkennen des auftretenden Verhaltens – von Command-and-Control bis zur Datenexfiltration – ist es nicht. Hinzukommt, dass, wenn ein Angriff in Stunden statt in Tagen durchgeführt wird, die erforderliche Zeit zur Erkennung immer wichtiger wird.

Eine wichtige Weiterentwicklung des Modells der gemeinsamen Verantwortung ist, dass unabhängig vom eingesetzten Rechenzentrumsmodell, also Infrastructure-, Platform- oder Software-as-a-Service, das Unternehmen immer für Daten, Endpunkte, Konten und Zugriffsmanagement verantwortlich ist.

Zugriffsverwaltung

CSPs müssen ihr eigenes Zugriffsmanagement und ihre Kontrollen sicherstellen, die den Zugriff auf Cloud-Mieterumgebungen einschränken. Die Cloud-Mieter selbst müssen jedoch davon ausgehen, dass eine Kompromittierung möglich ist, und über das „Wer“, „Was“, „Wann“ und „Wo“ des Zugriffsmanagements Bescheid wissen. Die korrekte Zuweisung von Benutzerzugriffsrechten hilft, indem sie Instanzen von gemeinsamen Zugangsdaten reduziert, so dass sich Cloud-Mieter darauf konzentrieren können, wie diese Zugangsdaten verwendet werden. Richtlinien für den Ressourcenzugriff können auch die Bewegungsmöglichkeiten zwischen der CSP-Infrastruktur und Cloud-Mietern reduzieren.

Erkennung und Reaktion

Wenn es um Cloud- und On-Premises-Monitoring geht, ist es notwendig, sowohl das Geschehen zu überwachen als auch festzustellen, wie Daten und Kontext von beiden Umgebungen zu verwertbaren Informationen für Sicherheitsanalysten korreliert werden können. Die Überwachung von Cloud-Ressourcen durch Cloud-Mieter ist unerlässlich, um die Fähigkeit zu erhöhen, Querbewegungen von der CSP-Infrastruktur zu den Mieterumgebungen zu erkennen und umgekehrt. Die Koordination mit dem CSP – sowie die CSP-Koordination mit Cloud-Mietern – kann eine leistungsfähige Kombination von Informationen liefern, um die Wahrscheinlichkeit zu erhöhen, die Aktivitäten nach der Kompromittierung zu erkennen. Noch wichtiger ist, dass die Transparenz des Angriffsverhaltens von Angreifern von der Implementierung geeigneter Tools abhängt, die Cloud-spezifische Daten nutzen können.

Sicherheitsmaßnahmen

Die Kenntnis und Verwaltung der Infrastruktur im Rahmen der Due Diligence sollte dazu beitragen, Systeme und Abläufe zu identifizieren, die durch Malware-Implantate wie die in der Operation Cloud Hopper verwendeten gefährdet sind. Änderungen an Produktionssystemen sind oft schwer zu erkennen. Wenn jedoch in der Cloud-Infrastruktur Transparenz vorhanden ist, ist es viel einfacher, das Verhalten von Angreifern in kompromittierten Systemen und Diensten zu erkennen, die eindeutig außerhalb der erwarteten Spezifikationen arbeiten. Im Idealfall verfügen die Sicherheitsteams über solide Informationen zu den Erwartungen an diese Infrastruktur, so dass Abweichungen von der normalen Aktivität eher dazu führen, dass Malware und ihre Aktivitäten identifiziert werden.

www.vectra.ai

 

Andreas

Müller

Regional Sales Director DACH

Vectra

Andreas Müller ist Regional Sales Director für die DACH-Region bei Vectra. Er verfügt über mehr als 15 Jahre Vertriebserfahrung im Cybersicherheitsmarkt. In früheren Funktionen leitete er den Vertrieb bei Check Point Software und zuvor bei Ivanti, ehemals Lumension, in der DACH Region. 
Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.