Cloud-Zugang: Das neueste Angebot für Initial Access Broker – Lacework

Cloud-Zugang: Das neueste Angebot für Initial Access Broker

Lacework Labs

June 1, 2021

Greg Foss
Cloud Security Researcher – Lacework Labs

 

Zusammenfassung

Initial Access Brokers (IAB) have become commonplace across cybercrime marketplaces in recent years. A practice that has evolved from the opportunistic compromise of one-off internet-facing assets for resale as mere proxies, to now including the targeting of corporate networks, assessing the environment for business value, and ultimately selling access into the organization for usage by ransomware gangs, espionage, and everything else in between. Amazon AWS, Google Cloud, and Azure administrative accounts have quickly become the new hotness in underground marketplaces.

Initial Access Broker

Diese Akteure spielen eine zentrale Rolle im übergreifenden Ökosystem der Cyberkriminalität. Indem sie Organisationen ausspähen und angreifen, bieten sie anderen Kriminellen, die nicht unbedingt über die für diese Art von Ausbeutung erforderlichen Fähigkeiten verfügen, einen wertvollen Service. Der jeweilige Zielkäufer hat wahrscheinlich Zugang zu Ransomware-as-a-Service (RaaS), Cryptomining-Programmen oder anderer Malware und sucht einfach nur nach einem Einsatzort. Diese Kombination hat weiterhin kritische Auswirkungen auf Unternehmen und Einzelpersonen weltweit und trägt durch die allgemeine Senkung der Einstiegshürde maßgeblich zur von uns beobachteten Explosion von Ransomware und Cryptojacking bei. Während die meisten produktiven Ransomware-Banden ihre eigenen Operationen durchgängig durchführen, gibt es viele kleinere und mehr auf einzelne Nischen beschränkte Akteure, denen nun eine ganze Welt an neuen Möglichkeiten offen steht, wie es sie in den Jahren zuvor nicht gab.

Marktplatz-Eintrag für den Zugang zu einem Netzwerk der US-Regierung auf XSS.is Marktplatz-Eintrag für den Zugang zu einem Netzwerk der US-Regierung auf XSS.is

 

Während feindliche Staaten häufig die Abendnachrichten bestimmen, wird die Raffinesse von kleineren Gruppen von Cyberkriminellen oft unterschätzt. Diese Szene ist voll von kompetenten und gut vernetzten Einzelpersonen, die oft vom Vorteil der allgemeinen Anonymität profitieren. Aufgrund der Natur moderner Crimeware-Marktplätze können viele von ihnen ganz allein arbeiten, um den Gewinn aus den Unternehmen zu maximieren, die ihnen zum Opfer fallen. Manche sind möglicherweise sogar selbst Insider in den betroffenen Unternehmen. Dieses Level an Anonymität spielt eine entscheidende Rolle bei der Verschleierung der Identität der Angreifer. Die Einzelpersonen, die das Unternehmen zunächst angreifen, sind oft nicht identisch mit denen, die Ransomware bereitstellen oder anderweitig die Kontrolle über die späteren Phasen der Attacke übernehmen.

Ein Angriff auf jedes beliebige Netzwerk ist kein kleines Unterfangen. Kreativität ist daher entscheidend bei der Steigerung ihres Ertrags. Wenn man einen Schritt zurücktritt, erkennt man, dass viele Angriffe nicht einfach einer einzelnen Gruppe mit einem gemeinsamen Ziel zuzuordnen sind. In Wahrheit handelt es sich vielmehr um eine Art verflochtene Gemeinschaft einer Vielzahl diverser Akteure, die die Industrialisierung der Cyberkriminalität, wie wir sie heute erleben, stetig vorantreibt.

Laut einem Bericht, der vom Cybercrime Magazine veröffentlicht wurde, wird geschätzt, dass „die weltweiten Kosten für Cyberkriminalität [...] um 15 Prozent pro Jahr wachsen und bis 2025 jährlich 10,5 Billionen Dollar erreichen [werden].“ Eine geradezu atemberaubende, aber dennoch durchaus realistische Prognose.

Der Aufstieg von Initial Access Brokern in die Cloud

Während sich ein Großteil der Angriffe auf Cloud-Assets bisher auf die Ausbeutung kurzlebiger Dienste mittels Botnets für das Cryptocurrency-Mining konzentriert hat, ist dies in Wirklichkeit nur ein Kratzen an der Oberfläche. Mit der zunehmenden Ausdehnung der Unternehmensinfrastruktur in die Cloud passen auch opportunistische Angreifer ihre Techniken, Taktiken und Verfahren an, um aus dem Weiterverkauf des Zugangs auf Cloud-Management-Konten und die zugehörige Infrastruktur Kapital zu schlagen.

Marktplatz-Eintrag für gemeinsame AWS-Root-Schlüssel aus dem Forum Exploit.in Marktplatz-Eintrag für gemeinsame AWS-Root-Schlüssel aus dem Forum Exploit.in

Der Weiterverkauf von Cloud-Zugängen konzentrierte sich bis vor Kurzem hauptsächlich auf kostenlose Testkonten mit Anfangsguthaben aus Prepaid-Kreditkartenregistrierungen und gefälschten Informationen. Cyberkriminelle haben den tatsächlichen Nutzen des Zugangs zur Cloud-Infrastruktur von Unternehmen erkannt. Viele der bekannteren Einträge geben die Verfügbarkeit von SMTP-Port 25 und Message-Relay-Credits für die Weiterleitung von Spam und Phishing-Angriffen an. Der Missbrauch kann sehr kostspielig sein und den Ruf des Unternehmens schädigen, was sich nachhaltig negativ auf das Geschäft auswirkt. Das Hauptziel sind jedoch immer noch AWS-Stammschlüssel.

Laut einem kürzlich veröffentlichten Artikel der Cloud Native Computing Foundation, ist das „Identitäts- und Zugriffsmanagement (IAM) [...] der größte Angriffsvektor, unabhängig von Plattform oder Anbieter, und es ist entscheidend, IAM-Richtlinien sorgfältig zu verwalten, um sowohl Entwicklern als auch Agenten einen sicheren Zugang zum Quellcode zu ermöglichen. Pipeline-Agenten und menschliche Entwickler müssen ihre Zugänge und Privilegien exakt auf ihre Rollen innerhalb des Unternehmens abstimmen und über sichere Mittel zur Authentifizierung dieser Rollen verfügen.

Marktplatz-Eintrag für Root-Schlüssel der AWS Cloud aus dem Forum XSS.is Marktplatz-Eintrag für Root-Schlüssel der AWS Cloud aus dem Forum XSS.is

Root-Zugänge zur Cloud-Infrastruktur von Technologieunternehmen mit weitreichendem Zugriff auf andere Organisationen, wie z. B. Managed Service Provider, sind ideale Ziele für Cyberkriminelle. Mit einem einzigen Angriff auf solche Managed Service Provider fallen den Angreifern viel mehr Zugangsdaten und andere sensible Informationen in die Hände, als wenn sie die Organisationen einzeln ins Visier nehmen. Die Cloud macht diese Vorgänge viel leichter zugänglich und ermöglicht die Zentralisierung und Automatisierung von Abläufen für eine schnelle und einfache und gleichzeitig weitreichende Wirkung.

Zugang zu einem Managed Service Provider (MSP) mit potenziell weitreichender Wirkung zum Verkauf Zugang zu einem Managed Service Provider (MSP) mit potenziell weitreichender Wirkung zum Verkauf

While initial access brokers still primarily target organizations opportunistically through exposed Remote Desktop Protocol (RDP), phishing, and related attacks against core infrastructure and employees, the resale of cloud root keys, access to Kubernetes management nodes, and cloud services, in general, is growing exponentially. What started as one-off marketplace postings continues to escalate as criminals began to understand and operationalize the utility of access to these services above and beyond cryptocurrency mining.

Auswirkungen

Cryptojacking (T1496) alleine kann für Unternehmen extrem kostspielig sein. Wenn man die Möglichkeit in Betracht zieht, dass sich ein Angreifer administrativen Zugang zur Cloud-Infrastruktur verschafft, verschiebt sich das Paradigma dramatisch. Angreifer könnten auf sensible Daten zugreifen, ganze Umgebungen unterbrechen, beeinträchtigen und zerstören, und selbst so scheinbar harmlose Angriffe wie Cryptomining werden unglaublich wirkungsvoll, sobald die Schlüssel zum Königreich offen liegen. Das Anlegen neuer Ressourcen und das Mining im großen Stil kann erstaunlich kostspielig sein und sich unmittelbar auf die Finanzen des gesamten Unternehmens auswirken, wenn keine Schutzmaßnahmen getroffen werden.

Zugang zum Verkauf auf dem XSS.is-Marktplatz Ausgereizte Preise für Google Cloud Compute-Ressourcen

Mit dem Zugang zu Ressourcen ist es allerdings noch nicht getan. Protokolle und andere sensible Informationen, auf die in der Umgebung zugegriffen werden kann, können eine wahre Schatzkammer an profitablen Daten sein. Es gibt sogar ganze Marktplätze, die sich nur dem Weiterverkauf von Protokollen von Webservern widmen. Cloud-Service-Protokolle liefern dabei noch wertvollere Informationen für Angreifer. Daraus können sie Zugangsdaten, Session-Tokens und zugehörige Datensätze extrahieren, die sie dann zur Erweiterung ihrer Abläufe nutzen können.

Weiterverkauf von Cloud-Service-Protokollen in einem beliebten russischsprachigen Crimeware-Forum Weiterverkauf von Cloud-Service-Protokollen in einem beliebten russischsprachigen Crimeware-Forum

Unabhängig vom Endziel sind die Marktplatz-Angebote für Root-Zugangsdaten für AWS, GCP und Azure absolute Verkaufsschlager.

aws-root-credentials Root-Zugangsdaten für AWS zum Verkauf von einem sehr seriösen Konto in den Raid-Foren

Viele hochpreisige Verkäufe innerhalb weniger Stunden.

Root-Zugangsdaten für AWS für 15.000 US-Dollar verkauft Verkauf in etwas mehr als einer Stunde abgeschlossen

Abschwächung

Um der Beschleunigung von Cloud Access Brokern zu begegnen, müssen Unternehmen ganzheitlich über den Schutz unserer Cloud-Infrastruktur nachdenken, um diese zu sichern, zu überwachen und zu schützen. 

  • Schulen Sie Ihre Mitarbeiter, um sicherzustellen, dass Security ein Kernbestandteil Ihrer Organisation ist, und untermauern Sie die Trainings durch Phishing-Simulationen und kontinuierliche Tests und Verifizierung von Endbenutzern.
  • Stellen Sie sicher, dass für alle nach außen gerichteten Assets eine Multi-Faktor-Authentifizierung vorhanden ist.
  • Wechseln Sie die Master-Schlüssel regelmäßig – eine Rotation alle 45 Tage wird empfohlen und kann automatisiert werden.
  • Implementieren Sie Instanz-, Abrechnungs- und Auslastungsgrenzwerte mit Alarmierung und Prävention.
  • Halten Sie Ausschau nach ungeschützten Schwachstellen im Internet und patchen Sie schnell und effizient.
  • Halten Sie Compliance-Standards ein und gewährleisten Sie die ständige Verfolgung von und schnelle Benachrichtigung bei Änderungen.
  • Richten Sie eine Warnung vor unbekannten IP-Adressen ein, die auf die Infrastruktur zugreifen.
  • Behalten Sie Änderungen an Berechtigungen im Blick, insbesondere in Sachen Master-Schlüssel.
  • Implementieren Sie Cloud Workload Protection und grundlegende Routineaktivitäten und richten Sie bei Abweichungen eine Warnung ein.

Bitte folgen Sie @LaceworkLabs auf Twitter und LinkedIn, um über unsere neuesten Forschungen auf dem Laufenden zu bleiben.