Was ist Krypto-Mining? Warum ist es eine Bedrohung?
"Das Mining von Kryptowährungen (Krypto-Mining) nutzt die Rechenleistung von Computern, um komplexe mathematische Probleme zu lösen und digitale Transaktionen zu verifizieren, und die Miner werden mit einer kleinen Menge an Cyberwährung belohnt."
Quelle : cyber.gov.au
Cryptojacking ist ein Verbrechen und auch eine einfache Möglichkeit für Hacker, in der Public Cloud Geld zu verdienen; denn alles, was sie tun müssen, ist, einen Weg in die Cloud eines Kunden zu finden, eine Menge CPU-reicher Server mit hoher Kapazität für das Mining hochzufahren und so lange Geld zu verdienen, bis der unglückliche Kunde den Einbruch bemerkt (meist nachdem er eine alarmierende Rechnung vom Cloud-Anbieter erhalten hat).
“Viele aktuelle Studien weisen darauf hin, dass 99% der Fehlkonfigurationen in der Cloud unbemerkt bleiben.“
Diese häufig vorkommenden Fehlkonfigurationen sind auch warum die öffentliche Cloud eine Goldmine für Krypto-Miner ist. Diese Fehlkonfigurationen ausnutzend, haben Miner unbegrenzte CPU und Rechenleistung zur Verfügung.
Anatomie einer Cloud-Zugangsdatenverletzung
Wir haben kürzlich ein Interview mit einem Kunden geführt, der eine Verletzung des Service Account Key in der Google Cloud erlebte, was zu Krypto-Mining-Aktivitäten führte.
Wir werden diesen Vorfall in mehrere Schritte aufschlüsseln, um besser zu verstehen, wie Angreifer die durchgesickerten Anmeldeinformationen ausnutzen können, und vor allem, wie Unternehmen besser darauf vorbereitet sein können, dieses Szenario zu bewältigen (wenn es eintritt)
Cloud-Anbieter
Ein Mitarbeiter hat versehentlich einen GCP Service Account Username/Key in seinem persönlichen GIT Repo gespeichert.
Kurz darauf erhielten sie eine E-Mail von Google, in der es hieß, dass eine Kompromittierung des Dienstkontos festgestellt worden war. In der E-Mail wurden die folgenden Details angegeben (ein lebensrettender Service, müssen wir sagen - denn er verkürzt die Erkennungszeit dramatisch).
In der E-Mail wurden das betreffende Dienstkonto und die URL des öffentlichen Github-Repos deutlich hervorgehoben. Sie empfahl außerdem zwei Schritte, darunter die Stilllegung des Dienstkontos, die unbedingt durchgeführt werden muss.
Untersuchung
Unkontrolliert hätten diese VMs zu Zehntausenden von Dollar an Cloud-Kosten führen können.
Das ist das Ziel der Bergleute; die Wahrscheinlichkeit, dass die meisten Organisationen nicht über die Mittel oder Mechanismen verfügen, um diese Eindringlinge zu erkennen und darauf zu reagieren.
Es ist Geld, das auf dem Tisch liegt.
Was sollten wir tun, wenn mir/meiner Organisation so etwas passiert?
- Widerrufen Sie alle (oder aufgelistete) Anmeldeinformationen für kompromittierte Dienstkonten.
- Alle nicht autorisierten VMs oder Ressourcen löschen
Es gibt mehrere Faktoren. Die Dynamik der Public Cloud macht es sehr schwierig, eine baseline und gehärtete Umgebung zu haben.
Es gibt mehrere Regionen, die mit jedem Cloud-Anbieter verbunden sind. Ein geleaktes Dienstkonto kann die Berechtigung haben, Infrastruktur/Ressourcen in ALLEN dieser Regionen zu erstellen. In der Webkonsolenansicht eines Cloud-Anbieters gibt es immer eine regionale Ansicht Ihrer Ressourcen. Daher müssen Sie zwischen den Regionen wechseln, um festzustellen, ob in einer Region neue Rechenressourcen oder abrechenbare Ressourcen erstellt wurden.
Was wäre, wenn dieses kompromittierte Dienstkonto kontoübergreifende Berechtigungen hätte? Ein Albtraumszenario, wenn Sie Teil des Cloud-Administrationsteams sind. Es ist nicht einfach, wenn Sie Hunderte oder Tausende von Konten/Projekten haben.
Wie können wir das Risiko einteilen und eindämmen?
Stellen Sie zunächst sicher, dass Sie alle (oder aufgelisteten) Anmeldeinformationen für das kompromittierte Dienstkonto REVOKE.
Anstatt in Panik zu verfallen, sollten Sie als Nächstes die IAM-Protokolle des Cloud-Dienstanbieters verwenden, um die Aktivitäten zu verstehen, die von dem kompromittierten Dienstkonto ausgeführt wurden.
Wenn Sie GCP verwenden (wie in diesem Beispiel), prüfen Sie die Stackdriver-IAM-Audit-Protokolle. Filtern Sie nach dem betreffenden Service-Konto und suchen Sie nach allen jüngsten Aktivitäten. Die anschließende gefilterte Liste zeigt neu gestartete EC2-Instanzen (falls vorhanden) oder andere Aktivitäten zur Erstellung/Löschung/Änderung von Ressourcen durch dieses Servicekonto.
Wenn Sie unautorisierte Starts identifizieren, schalten Sie diese sofort ab und informieren Sie den Cloud-Anbieter, indem Sie ein Ticket erstellen. Der Cloud-Anbieter verzichtet in der Regel auf Kosten, die durch solche Eingriffe entstehen, wenn sie rechtzeitig gemeldet werden.
Kann es kompliziert werden?
Unbedingt - wenn Sie keine zentralisierte Protokollierung für alle Ihre Cloud-Konten haben. Dann wird es für den Cloud-Administrator zu einem Albtraum, sich durch all die Protokolldateien der verschiedenen Cloud-Konten zu wühlen und Kompromisse zu erkennen.
Im Fall von AWS kann es ziemlich chaotisch werden, da Angreifer typischerweise Role Chaining verwenden, um sich seitlich durch Ihre Cloud zu bewegen. Die Erkennung und Auswertung von Role-Chaining-Aktivitäten in Ihren Cloud-Konten und die Eingrenzung auf das Grundereignis ist komplex und zeitaufwändig.
In diesem Artikel haben wir das Beispiel des "Cryptojacking" angeführt und wie Crypto-Miner gängige Cloud-Fehlkonfigurationen ausnutzen und Public-Cloud-Rechenressourcen missbrauchen.
JedochDie Verletzung eines Dienstkontos ist keineswegs auf Cryptojacking-Aktivitäten beschränkt. Wenn ein Eindringling erst einmal drin ist, kann er Ihrer Cloud-Infrastruktur katastrophale Schäden zufügen. Sie werden nach Ihren Kronjuwelen-Daten jagen und sie exfiltrieren oder etwas so Schlimmes tun, wie Ihre laufenden Produktionsserver zum Absturz zu bringen, wenn diesem Service-Konto Admin-Rechte gewährt wurden.
Schützen Sie Ihre Cloud vor Cryptojacking
- Sichern Sie Ihre Cloud-Anmeldedaten.
- Schulen Sie Ihre Mitarbeiter in der Einhaltung von Best Practices in der Cloud.
- Verfügen Sie über einen dokumentierten Mechanismus zur Reaktion auf Vorfälle, um schnell auf versehentliche Zugangsdatenexpositionen durch Mitarbeiter reagieren zu können.
- Befolgen Sie das Prinzip der geringsten Privilegien beim Erstellen von menschlichen/nicht-menschlichen Rollen und Identitäten in der Cloud. Dies ist Ihr wichtigster Bedrohungsvektor in der Cloud.
- Im obigen Beispiel - wenn das Dienstkonto nicht die Berechtigung hatte, virtuelle Maschinen zu erstellen - ist der Verstoß an sich ein geringes Risiko, da der Faktor der Ausnutzbarkeit sehr gering ist.
- Überprüfen Sie ständig die mit Ihren Cloud-Identitäten verbundenen Berechtigungen und passen Sie sie an. Wenn es ungenutzte Berechtigungen gibt, entfernen Sie sie.
- Zentralisieren Sie Ihre IAM-Logs. Ihre Administratoren benötigen eine einheitliche Sicht auf die Ereignisse in Ihrem Cloud-Portfolio (Single- oder Multi-Cloud).
- Die Fähigkeit zur rechtzeitigen Prüfung und Forensik über alle Cloud-Identitäten hinweg ist entscheidend. Rationalisieren und speichern Sie alle Ihre Protokolle auf einer gemeinsamen Plattform, um dies zu vereinfachen.
Wie kann C3M helfen, Ihre Cloud-Risiken zu minimieren?
- Unsere Dashboards geben Ihnen Einblick in jeden Benutzer/Rolle/Service-Account/Gruppe, der in Ihrer Cloud existiert, und den Compliance-Status.
- Ein IAM-Aktivitäts-Dashboard gibt Ihnen einen Überblick über alle sensiblen Ereignisse, die in Ihrer Cloud-Infrastruktur stattfinden.
- Interaktive Visualisierungen mit der Möglichkeit, Fragen zu stellen wie
- Wer kann bestimmte Rollen in meinem Konto übernehmen?
- Kann ich eine Cloud-Entität über eine bestimmte Rolle erreichen?
- Welche Rollen haben Zugriff auf bestimmte Cloud-Anwendungen? und vieles mehr...
- Echtzeit-Erkennung und Alarmierung für alle Cloud-IAM-Aktivitäten.
- Ein Ereignisprotokoll-Bildschirm zum Anzeigen, Prüfen, Berichten und Forensifizieren aller Identitäten in ALLEN Clouds für einen bestimmten Zeitraum
- Privilegierte Benutzer/Dienstkonten überwachen und verwalten
- Anomalie-Erkennung für Cloud-Identitäten einschließlich Erkennung von Crypto-Mining-Aktivitäten
- Risiko-Score für alle Identitäten basierend auf CVSS
- Möglichkeit, verschiedene Aktivitäts- und IAM-Berichte zu erstellen und herunterzuladen
- Möglichkeit zur Konfiguration von Echtzeit-Abhilfemaßnahmen über vordefinierte oder benutzerdefinierte Playbooks.
Die öffentliche Cloud ist so konzipiert, dass sie inhärent sicher ist. Einfach sicher konfigurieren. Sie haben Fragen zur richtigen Konfiguration Ihrer Cloud? - Bitte wenden Sie sich an und einer unserer Cloud Security SMEs wird eine KOSTENLOSE 30-minütige Sitzung mit Ihrem Team durchführen. Keine Verpflichtung erforderlich.
