Cyberkriminelle nehmen Alibaba-Cloud für Kryptomining und Malware ins Visier

  • Cyberkriminelle haben es auf die Instanzen von Alibaba Elastic Computing Service (ECS) abgesehen und deaktivieren bestimmte Sicherheitsfunktionen, um ihre Kryptomining-Ziele zu erreichen. Alibaba bietet einige einzigartige Optionen, die es zu einem äußerst attraktiven Ziel für Angreifer machen, so die Forscher.

    Registrieren Sie sich jetzt für unsere LIVE-Veranstaltung!

    Nach Recherchen von Trend Micro verfügt die Cloud des chinesischen Riesen (auch bekannt als Aliyun) über einen vorinstallierten Sicherheitsagenten. Das Deaktivieren von Sicherheitsfunktionen ist zwar keine neue Taktik, doch in diesem Fall nutzen die Angreifer ein kleines Stück spezifischen Codes in der Kryptomining-Malware, um neue Firewall-Regeln zu erstellen und die Sicherheitsfilter anzuweisen, eingehende Pakete aus IP-Bereichen, die zu internen Alibaba-Zonen und -Regionen gehören, zu verwerfen.

    Wenn Kryptojacking-Malware in einem Alibaba ECS-Bucket installiert wird, sendet der Sicherheitsagent dem Benutzer in der Regel eine Benachrichtigung, dass ein bösartiges Skript ausgeführt wird. In diesem Fall gelingt es dem Sicherheitsagenten trotz Erkennung nicht, die laufende Kompromittierung zu bereinigen, und er wird deaktiviert”, heißt es in der am Montag veröffentlichten Analyse von Trend Micro. “Ein Blick auf ein anderes Malware-Beispiel zeigt, dass der Sicherheitsagent ebenfalls deinstalliert wurde, bevor er eine Warnung über die Gefährdung auslösen konnte.

    Sobald die Malware die Sicherheitsfunktion überwunden hat, installiert sie den handelsüblichen Kryptominer XMRig, der Monero schürft.

    Kryptojacker dringen als Standard-Root-Benutzer ein

    Die Forscher fügten hinzu, dass die Angriffe auf Alibaba aufgrund einiger einzigartiger Merkmale des Dienstes und der Art und Weise, wie Cloud-Instanzen konfiguriert werden können, zunehmen.

    “Die Standardinstanz von Alibaba ECS bietet Root-Zugriff”, heißt es in der Analyse. “Bei Alibaba haben alle Benutzer die Möglichkeit, ein Passwort direkt an den Root-Benutzer innerhalb der virtuellen Maschine (VM) zu vergeben.

    Dies steht im Gegensatz zu der Art und Weise, wie andere Cloud-Service-Provider ihren Speicherzugang gestalten, so die Forscher. In den meisten Fällen steht das Prinzip des geringsten Privilegs im Vordergrund, mit verschiedenen Optionen, wie z. B. keine Secure Shell (SSH)-Authentifizierung über Benutzer und Passwort zuzulassen oder eine asymmetrische Kryptografie-Authentifizierung zuzulassen.

    Wenn Cyberangreifer auf diese Weise Anmeldedaten erlangen, müssten sie, wenn sie mit nur geringen Privilegien eindringen, einen “erhöhten Aufwand” betreiben, um die Privilegien zu erweitern, so Trend Micro: “Andere Cloud-Service-Anbieter erlauben dem Benutzer standardmäßig nicht, sich direkt über SSH anzumelden, so dass ein weniger privilegierter Benutzer erforderlich ist.”

    Aber in einem standardmäßigen Alibaba ECS-Bucket würde ein Angreifer mit gestohlenen Anmeldeinformationen oder einem funktionierenden Exploit zur Erstkompromittierung mit den höchstmöglichen Privilegien eindringen, so die Forscher. Das öffnet die Tür für den Einsatz von fortgeschrittenen Nutzdaten wie Kernel-Modul-Rootkits und für den Aufbau von Persistenz über laufende Systemdienste.

    “Angesichts dieser Eigenschaft überrascht es nicht, dass mehrere Bedrohungsakteure Alibaba Cloud ECS angreifen, indem sie einfach einen Codeschnipsel zum Entfernen von Software einfügen, die nur in Alibaba ECS zu finden ist”, so das Fazit der Analyse.

    Teure Ressourcen, zusätzliche Nutzlasten

    In Bezug auf die Auswirkungen stellte Trend Micro außerdem fest, dass Alibaba ECS über eine automatische Skalierungsfunktion verfügt, so dass der Dienst die Verfügbarkeit von Rechenressourcen je nach Bedarf automatisch erweitert. Dadurch erhalten Kryptominer unbegrenzte Ressourcen, was für das Opfer zu einem Rechnungsschock führen kann.

    “Während die Funktion den Abonnenten ohne zusätzliche Kosten zur Verfügung gestellt wird, führt der Anstieg der Ressourcennutzung zu zusätzlichen Gebühren”, heißt es in der Analyse. “Zu dem Zeitpunkt, an dem die Rechnungsstellung bei der unwissenden Organisation oder dem unwissenden Benutzer ankommt, hat der Kryptominer wahrscheinlich bereits zusätzliche Kosten verursacht. Außerdem müssen die rechtmäßigen Abonnenten die Infektion manuell entfernen, um die Infrastruktur von der Kompromittierung zu befreien.

    Außerdem ist der Code der Malware modular aufgebaut, so dass der Cryptominer leicht durch eine andere Malware ersetzt werden kann, die in der Umgebung ausgeführt wird, so die Forscher des Unternehmens.

    “Angreifer können … den bösartigen Cryptominer leicht durch ein anderes Stück Malware ersetzen, das ihnen möglicherweise mehr Gewinn bringt oder sich auf andere Arbeitslasten und Endpunkte ausbreiten kann”, erklärten sie. “Nachfolgende Angriffe können auf die Projekte oder die Infrastruktur erfolgen, da es so einfach ist, mit hohen Benutzerrechten in die Umgebung einzudringen.”

    Um sich davor zu schützen, dass Bedrohungsakteure Cloud-Ressourcen stehlen, sollten Benutzer einen weniger privilegierten Benutzer für die Ausführung von Anwendungen und Diensten innerhalb jeder Alibaba ECS-Instanz erstellen, empfehlen die Forscher. Außerdem gaben sie zusätzliche Hinweise:

    Praktizieren Sie ein Modell der geteilten Verantwortung: Lesen Sie sich die Leitfäden durch, passen Sie die Sicherheitsebenen von Workloads und Projekten entsprechend an und aktivieren Sie sie.

    Stellen Sie sicher, dass es mehr als eine Schicht von Tools zum Scannen von Malware und zur Erkennung von Schwachstellen gibt.

    Passen Sie die Sicherheitsfunktionen von Cloud-Projekten und -Workloads an: Vermeiden Sie trotz der angebotenen Funktion Ihres CSP die Ausführung von Anwendungen mit Root-Rechten und die Verwendung von Passwörtern für SSH.

    Verwenden Sie Public-Key-Kryptografie für den Zugriff.

    Befolgen Sie das Prinzip der geringsten Privilegien: Begrenzen Sie die Anzahl der Benutzer mit den höchsten Zugriffsrechten entsprechend ihrer jeweiligen Beteiligung an einem Projekt oder einer Anwendung.

    Möchten Sie die Kontrolle über die fadenscheinigen Passwörter zurückgewinnen, die zwischen Ihrem Netzwerk und dem nächsten Cyberangriff stehen? Darren James, Leiter der internen IT-Abteilung bei Specops, und Roger Grimes, Evangelist für datengesteuerte Verteidigung bei KnowBe4, zeigen Ihnen in der kostenlosen LIVE-Veranstaltung “Password Reset”, wie das geht: Kontrolle über Anmeldeinformationen erlangen, um Angriffe zu stoppen”, am Mittwoch, den 17. November um 14 Uhr ET. Gesponsert von Specops.

    Registrieren Sie sich JETZT für die LIVE-Veranstaltung!

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/10/26165929/clouds-e1635281983435.jpg]

    Einige Teile dieses Artikels stammen aus:
    threatpost.com