Löcher im Schutz von Unternehmensnetzwerken: Cloud-Services

Zu den am weitesten verbreiteten „Einsatzgebieten“ von Cloud-Services gehören: das Speichern von Scans des Reisepasses oder anderen persönlichen Dokumenten; die Synchronisierung von Datenbanken mit Passwörtern, Kontakten, Mails; das Erstellen von Websites; das Speichern von Quellcode-Versionen usw. Als der Cloud-Speicherdienst Dropbox öffentlich mitteilte, dass er eine Sicherheitslücke im Linkgenerator geschlossen habe, wurde im Internet wieder einmal eifrig darüber diskutiert, wie wichtig es ist, vertrauliche Daten zu verschlüsseln, bevor man sie auf irgendeiner Ressource ablegt – selbst wenn diese privat ist. Die Datenverschlüsselung (FLE) gewährleistet tatsächlich den Schutz vertraulicher Daten in der Cloud, selbst wenn Sicherheitslücken in der Kontrolle des Zugriffs auf Anwenderdokumente in dem einen oder anderen Cloud-Dienst entdeckt werden.

Es mag nun der Eindruck entstehen, dass man jedes Risiko vermeiden kann, wenn man entweder erst gar keine geheimen Daten in der Cloud ablegt oder diese verschlüsselt. Ist das tatsächlich so? Wie sich herausgestellt hat, nicht wirklich.

Im Internet findet man häufig Ratschläge zur „effizienten Nutzung von Filehosting-Diensten in der Cloud“, beispielsweise Anweisungen zur entfernten Steuerung des Computers, Beobachten des Computers während der eigenen Abwesenheit, Steuerung von torrent-Downloads und vieles mehr. Mit anderen Worten: Die Nutzer schaffen selbst alle nur erdenklichen Löcher, die auch von Trojanern, Würmern und vor allem Hackern mit Leichtigkeit ausgenutzt werden können, insbesondere wenn es um zielgerichtete Attacken geht.

Wir haben uns eine Frage gestellt: Wie groß ist das Risiko einer Infektion eines Unternehmensnetzwerks über einen Cloud-Service?

Auf der Black Hat 2013 referierte Jacob Williams, Chief Scientist der CSRgroup Computer Security Consultants, über die Nutzung von Dropbox zum Eindringen in ein Unternehmensnetzwerk. Im Laufe der Durchführung eines in Auftrag gegebenen Penetrationstests benutzte Jacob den zarten Dropbox-Client, der auf einem Notebook installiert war, das sich außerhalb des Unternehmensnetzwerks befand, um Schadsoftware auf Geräten innerhalb des Netzes zu verbreiten.

Zunächst infizierte Jacob mit Hilfe von Phishing das Notebook eines Mitarbeiters. Daraufhin schleuste er schädliche Skripte in Dokumente ein, die in einem „Cloud“-Ordner des Notebooks gespeichert waren. Dropbox aktualisierte die infizierten Dokumente automatisch auf allen Geräten, die mit dem Account des Anwenders in Verbindung standen (Synchronisation). Diesbezüglich steht Dropbox nicht allein da, denn die Funktion der automatischen Synchronisation ist in allen populären Anwendungen für den Zugriff auf Cloud-Filehosting-Dienste vorhanden, darunter Onedrive (alias Skydrive), Google Disk, Yandex Disk usw.

Wenn der Anwender das infizierte Dokument auf seinem Arbeitscomputer innerhalb des Unternehmensnetzwerks öffnete, installierten die in das Dokument eingeschleusten Skripte im System den Backdoor DropSmack, den Jacob speziell für diesen Pen-Test entwickelt hatte. Wie der Name vermuten lässt, besteht die Schlüsselfunktion von DropSmack in der Ausnutzung des Cloud-Dateispeichers Dropbox als Kanal zur Steuerung des Backdoors und zur Übermittlung von Unternehmensdokumenten durch die Unternehmens-Firewall hindurch nach draußen.

blog_kruglov_cloud-store_kk_de

Jacob Williams‘ Experiment-Schema

Die Eindringungsmethode in das Unternehmensnetzwerk, die von Jacob im Rahmen des Pen-Tests eingesetzt wurde, überrascht durch ihre Einfachheit. Das ist wirklich eine eindeutige Lücke!

Wir wollten nun herausfinden, ob echte Cyberkriminelle tatsächlich Dropbox, OneDrive, Yandex Disk und Google Disk zur Verbreitung von Schadcode nutzen. Aufgrund der Informationen aus dem KSN über die Detektionen von Schädlingen, die in „Cloud“-Ordnern auf den Computern der Nutzer von Kaspersky Lab-Produkten gefunden wurden, stellten wir fest, dass solche Infektionen bei nur sehr wenigen Anwendern registriert wurden: Im Mai dieses Jahres hatten es lediglich 8.700 Personen mit einer Infektion eines „Cloud“-Ordners zu tun. Bei den Heimanwendern von Kaspersky Lab-Produkten machten die Schadprogramme dieser Art 0,42% aller Detektionen aus, bei den Anwendern von Unternehmensprodukten waren 0,24%.

Ein nicht ganz unwichtiges Detail sollte an dieser Stelle unbedingt erwähnt werden: Sobald der Schädling von einem Gerät in die Cloud gelangt ist, laden alle mit dem infizierten Account verbundenen Clients das Schadprogramm selbst auf ihr Gerät, und obendrein auch noch via HTTPS. Selbst wenn ein Antivirenprogramm den Befall auf einem der Geräte bemerkt und den Schädling direkt im Synchronisierungsordner löscht, so wird die Cloud-Anwendung – den Pflichten des Dienstes gemäß – gegen die sich abzeichnende Desynchronisierung angehen und den Schädling endlos aus der Cloud laden – wieder und wieder.

Unseren Daten zufolge gelangen in etwa 30% der Schadprogramme, die in Cloud-Ordnern auf Heimrechnern gefunden werden, über Synchronisierungsmechanismen auf die Computer! Bei Unternehmensanwendern liegt dieser Wert bei 50%. So führt der Mechanismus, den der Demonstrationsschädling von Jacob Williams verwendete, auch im wahren Leben zu Infektionen. Glücklicherweise haben wir bisher noch keine zielgerichtete Attacke unter Ausnutzung von Cloud-basierten Dateispeicherdiensten beobachten können.

Unter der schädlichen Software, die wir in den Cloud-Ordnern auf den Computern der Nutzer gefunden haben, herrschen Dateien der folgenden Formate vor: Win32, MSIL, VBS, PHP, JS, Excel, Word, Java. Erwähnenswert ist auch, dass zwischen Unternehmensanwendern und Heimanwendern ein kleiner Unterschied besteht: Bei den Erstgenannten finden sich häufiger infizierte MS Office-Dateien, bei den Letztgenannten sind es eher einmalige Schädlinge, und zwar bösartige Android-Apps.

TOP 10 der Schadprogramme:

 

Heimanwender Unternehmensanwender
1 Email-Worm.Win32.Runouce.b Email-Worm.Win32.Brontok.dam.a
2 Email-Worm.Win32.Brontok.q Virus.Win32.Sality.gen
3 not-a-virus:AdWare.Win32.RivalGame.kr Virus.Win32.Tenga.a
4 Virus.Win32.Nimnul.a Trojan-Dropper.VBS.Agent.bp
5 Trojan-Clicker.HTML.IFrame.aga Trojan.Win32.Agent.ada
6 Exploit.Win32.CVE-2010-2568.gen Trojan.Win32.MicroFake.ba
7 Virus.Win32.Sality.gen Exploit.Win32.CVE-2010-2568.gen
8 Worm.Win32.AutoRun.dtbv Worm.Win32.AutoRun.dtbv
9 Trojan-Dropper.VBS.Agent.bp Trojan.Win32.Qhost.afes
10 Trojan.Win32.Genome.vqzz Virus.Win32.Nimnul.a

Zumeist verwenden Virenautoren Cloud-Speicher gar nicht als Plattform zur Verbreitung, sondern vielmehr zum Hosting von Schadprogrammen – im Laufe unserer Untersuchungen sind wir nicht auf einen einzigen Wurm oder Backdoor gestoßen (DropSmack einmal ausgenommen), die es speziell auf Dateispeicher in der Cloud abgesehen hatten. Natürlich sind auch die Services selbst sehr bemüht, gegen Schadprogramme anzugehen, die einen freien Platz in der Cloud besetzen. Zudem wirkt sich das Hosting von Malware negativ auf den Ruf des Dienstes aus, auch wenn Cloud-Services rein formal keine Verantwortung dafür übernehmen, welche Dateien ihre Kunden in den Speicher laden. Offenbar verschlingt das Scannen aller in der Cloud befindlichen Dateien zu viele Ressourcen, die die Dienste gewinnbringender für die Speicherung von Daten nutzen können.

Die Untersuchung hat uns in erster Linie gezeigt, dass das Risiko einer Infektion über einen Cloud-Speicher relativ gering ist – im Laufe eines Jahres ist einer von eintausend Unternehmensanwendern, die Cloud-Services nutzen, einem Infektionsrisiko ausgesetzt. Man sollte allerdings bedenken, dass in manchen Fällen sogar eine einzige Infektion eines Computers in einem Unternehmensnetzwerk zu erheblichen Verlusten führen kann.

Mögliche Maßnahmen zum Schutz von Unternehmensnetzwerken:

  • Schrauben in der Firewall/IDS anziehen, den Zugriff auf die Server bekannter Services blockieren. Ein großer Nachteil dieses Ansatzes liegt in dem hohen Ressourcenverbrauch, denn man muss sorgfältig darauf achten, ob neue Kandidaten in der „Schwarzen Liste“ aufgetaucht sind.
  • Installation einer multifunktionalen Security Suite, die folgende Komponenten und Funktionen beinhaltet: heuristischer und verhaltensbasierter Antivirus, Zugriffsbeschränkung (HIPS), Kontrolle der Arbeit des Betriebssystems (System Watcher oder Hypervisor), Schutz vor Ausnutzung von Sicherheitslücken usw. Alle diese Features sollten dabei sorgfältig konfiguriert werden.
  • Da selbst eine moderne Security Suite mit allem Drum und Dran eine APT durchlassen kann, sollte man der Technologie „Anwendungskontrolle“ große Beachtung schenken (im Modus „Standardmäßig verboten“). Das ist wohl eins der zuverlässigsten Mittel, das das Blockieren jeder beliebigen unerwünschten Software ermöglicht (unter anderem solche, die im Rahmen von zielgerichteten Attacken verbreitet werden). Die komplexeste Aufgabe bei der Integration der Anwendungskontrolle besteht darin, die entsprechenden Regeln zu konfigurieren, damit alle erlaubten Anwendungen problemlos ausgeführt und aktualisiert werden. Zu diesem Zweck haben die Hersteller von Produkten mit der Funktion Anwendungskontrolle spezielle Tools entwickelt – Software-Updatefunktionen über vertrauenswürdige Aktualisierungsprogramme aus der Weißen Liste, inklusive alle möglichen System- und Anwendungsdateien, Zugriff auf die großen Cloud-Services und auf Informationsdatenbanken aller nur erdenklicher sauberer Software.
  • In besonderen Fällen muss die „Anwendungskontrolle“ benutzt werden, um die Verwendung von Cloud-Clients in Unternehmensnetzwerken einzuschränken, d.h. den Start von Synchronisierungsanwendungen von „Cloud“-Ordnern nur vertrauenswürdigen Mitarbeitern zu erlauben.

Und für die ganz und gar abgeschotteten Systeme, solchen etwa, die Elektrokraftwerke oder Wasserversorgungssysteme steuern oder den Start von Interkontinentalraketen ermöglichen – für Systeme dieser Art empfehlen wir eindringlich komplett von der Nutzung von Cloud-basierten Dateispeichern abzusehen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.