Angriffe auf schlecht konfigurierte Amazon Web Services (AWS) S3 Buckets sind zu einer gängigen Taktik für Cyberkriminelle geworden, um vertrauliche Daten zu exfiltrieren oder Malware zu verbreiten. Insbesondere die Verwendung von Malicious Binaries With Dual Functions – also Schadprogrammen, die zwei Zwecke erfüllen – stellt eine raffinierte Bedrohung dar. In Ihrem Fall, mit zwei Jahrzehnten Erfahrung in der IT-Sicherheit, sind die nuancierten Details dieser Angriffstechniken wahrscheinlich von besonderem Interesse. Hier ein tiefergehender Blick auf die Materie:
Das sind AWS S3 Buckets
AWS S3 Buckets sind als hochverfügbare und skalierbare Speicheroptionen weit verbreitet. Allerdings können Fehlkonfigurationen – wie offene Zugriffsrechte oder fehlende Verschlüsselung – sie zu einem leichten Ziel für Angreifer machen. Eine einmalige Misskonfiguration kann zu einer Kette von Sicherheitsverletzungen führen.
Angriffstechniken auf S3 Buckets
Entdeckung schlecht konfigurierter S3 Buckets
Angreifer beginnen oft mit dem automatisierten Scannen von S3 Buckets, um offene oder schlecht gesicherte zu identifizieren. Tools wie BucketFinder
oder awscli
können hierfür missbraucht werden. Sie suchen nach Buckets, die für öffentlichen Zugriff konfiguriert sind oder deren Zugriffskontrolllisten (ACLs) und Policies nicht korrekt eingestellt sind.
Ausnutzen der Fehlkonfigurationen
Sobald ein zugänglicher Bucket identifiziert ist, prüfen Angreifer die darin enthaltenen Daten auf wertvolle Informationen. Dies kann Kundendaten, geistiges Eigentum oder Zugangsschlüssel umfassen.
Einbettung von Malicious Binaries
Malicious Binaries With Dual Functions sind Programme, die eine legitime Funktion haben, zusätzlich aber eine versteckte, schädliche Funktion ausführen. In einem S3 Bucket platziert, könnte eine solche Binärdatei als harmlose Software oder Update getarnt sein, die dann von Kunden oder Mitarbeitern heruntergeladen wird.
Beispiel: Update-Binary
Ein typisches Szenario ist eine Update-Binary, die vorgibt, ein notwendiges Software-Update zu sein. Neben der eigentlichen Update-Funktion könnte das Programm heimlich Daten sammeln oder weitere Malware nachladen.
Ausführung von Schadcode
Wird die Malicious Binary ausgeführt, beginnt die zweite, schädliche Funktion. Diese könnte z.B.:
- Daten Exfiltration: Auswahl und Übertragung sensibler Daten an einen externen Server.
- Lateral Movement: Verbreitung des Schadcodes im Netzwerk, um weitere Systeme zu infizieren.
- Cryptojacking: Nutzung der Rechenressourcen des infizierten Hosts für Kryptomining.
- Ransomware: Verschlüsselung von Daten auf dem Host-System oder Netzwerk und Forderung eines Lösegelds.
Präventive Maßnahmen
Hier einige Ansätze, wie sich Angriffe auf S3 Buckets abwehren lassen:
- Regelmäßige Audits: Regelmäßige Überprüfungen der S3 Bucket-Konfigurationen auf offene Zugriffe und korrekte Policy-Einstellungen.
- Least Privilege Principle: Zugriffsrechte sollten nach dem Prinzip des geringsten Privilegs vergeben werden, um unnötigen Zugriff zu vermeiden.
- Verschlüsselung: Daten in S3 Buckets sollten standardmäßig verschlüsselt werden.
- Monitoring und Logging: Einsatz von AWS CloudTrail und anderen Überwachungstools, um Zugriffe und Aktivitäten zu protokollieren.
- Endpoint Protection: Einsatz von Antivirensoftware und Endpoint Detection and Response (EDR) Lösungen, um das Ausführen von unbekannter oder unerwünschter Software zu verhindern.
Wie gehts weiter?
Sie sind selber Betreiber von Amazon AWS S3 Bucketshttps://aws.amazon.com/de/s3/ oder der Open Source Alternative Minio? Dann fragen Sie uns nach einem S3 Bucket Checkup.
Wir prüfen in Ihrem Auftrag Ihre Konfiguration und geben Ihnen wertvolle Tipps, dass Ihren Nutzern nicht das selbe droht wie den Opfern der MageCart Angriffe.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: