adrian_ilie825 - Fotolia

Risikofaktor Schadcode in der Cloud: Was Unternehmen tun können

Häufiger als angenommen wird Malware in der Cloud gehosted oder von dort verteilt. Unternehmen sollten sich daher über Cloud-Malware Gedanken machen.

In den vergangenen Jahren wurde oft vorhergesagt, dass die Cloud vieles grundlegend verändern werde. Und in der Tat ist dies so eingetroffen, in Firmen hat sich durch die Möglichkeiten der Cloud vieles verändert. Unternehmen nutzen die Cloud, um ihren Endanwendern mehr Funktionalität zu bieten und dabei dennoch den operativen Overhead verringern zu können. So kann man sich auf die Weiterentwicklung des Unternehmens konzentrieren. Alles in allem eine also eigentlich überwiegend positive Entwicklung.

Eigentlich, denn natürlich gibt es bei solchen Entwicklungen auch immer Schattenseiten. Was den Endanwendern und Unternehmen recht ist, ist Cyberkriminellen nur billig. So bietet die Cloud natürlich auch geeignete Wege für die Verbreitung von Malware oder andere negativen Aktivitäten. Daher nutzen die Cyberkriminellen die Cloud natürlich längst ebenso wie ganz legitime Unternehmen (siehe auch DDoS-Angreifer nutzen Cloud-Dienste). Damit geht auch die Entwicklung einher, dass zunehmend kriminelle Aktivitäten als Service angeboten werden.

Bei so genannter Cloud-borne Malware handelt es sich um Schadsoftware, die die Cloud für verschiedene Zwecke nutzt: zur schlichten Verteilung, um Sicherheitskontrollen zu umgehen, oder um die Kontrolle über kompromittierte Systeme zu erlangen.

Kompromittierte Cloud-Speicher

Eine aktuelle Studie des Georgia Institute of Technology hat die aktuelle Cloud-Storage-Landschaft diesbezüglich untersucht. Ein Ergebnis: das Malware-Problem ist weitaus präsenter, als die meisten annehmen würden. So seien zehn Prozent aller untersuchten Cloud-Speicher in irgendeiner Form kompromittiert. Beispielsweise als Verteilstationen für schädliche Inhalte.

Häufig wird die Malware aus mehreren Komponenten zusammengesetzt, die unauffällig auf mehrere Punkte verteilt waren. Oder die Cloud-Lösung dient als Basis für Command-and-Control-Ansätze beziehungsweise andere schädliche Aktivitäten. Die Forscher haben die Erkenntnisse hinsichtlich der verwendeten Methoden in dieser Publikation zusammengefasst: „Lurking Malice in the Cloud: Understanding and Detecting Cloud Repository as a Malicious Service.“ In folgendem Video erläutern die Forscher ihre Ergebnisse:

Schadcode in der Cloud aufspüren

Die Ergebnisse dieser Forschungsarbeit sind aus mehreren Aspekten interessant. Endnutzern helfen, zu verstehen, in welcher Bedrohungslandschaft sie sich anwendungsseitig im Hinblick auf Malware in der Cloud bewegen. Und wie in vielen anderen Szenarien auch, hilft ein erhöhtes Sicherheitsbewusstsein, die Gesamtsicherheit zu erhöhen.

Zudem kann das Verständnis, wie Angreifer sich der Cloud-Dienste bedienen, hilfreiche Informationen zur Erkennung und Abwehr liefern. Dies hilft Unternehmen, entsprechende Vorfälle zu erkennen oder – besser noch – gar nicht erst auftreten zu lassen.

Auch für diejenigen, die Cloud-Dienste anbieten, sind dies wichtige Informationen. Schließlich schadet es dem Ruf der Anbieter, wenn sie Teil einer bösartigen Aktivität sind, auch wenn dies unbeabsichtigt geschieht. Und nicht zuletzt können derartige Vorkommnisse direkt wirtschaftliche Auswirkungen auf die Cloud-Provider haben.

Beispielsweise wenn Netzwerkbandbreite oder auch Storage-Kapazität statt regulär von Cyberkriminellen in Anspruch genommen wird. Selbst wenn die genutzten Ressourcen abgerechnet werden, diese aber über gestohlene Kreditkarten bezahlt werden, ist der Provider am Ende der Dumme.

Im genannten Bericht erläutern die Forscher, was sie in den so genannten „Bad repositories“ oder kurz „Bars“ gefunden haben. Dabei handelte es sich beispielsweise um Google Drive oder Amazon Simple Storage mit schädlichen Inhalten. Diese Repositories haben die Forscher mit einem speziell entwickelten Scan-Tool, dem BarFinder, untersucht.

Hierzu haben die Forscher die Unterschiede zwischen bösartigen und legitimen Cloud-Storage-Repositories aus einer Art Draufsicht untersucht. Hierfür haben sie zwei unterschiedliche Datensets definiert: ein Goodset (legitime Einheiten mit nicht schädlichem Inhalt) und ein Badset (kompromittierte oder nachweislich schädliche Einheiten). Anschließend wurden die Unterschiede verglichen.

Basierend auf den festgelegten Merkmalen eines schädlichen Inhalts konnten sie einen automatisierten Ansatz verwenden, um zu erkennen, ob der Inhalt legitim oder schädlich ist. War der Inhalt beispielsweise direkt zugänglich, war die Chance höher, dass es sich um legitime Inhalte handelte.

Stieß man hingegen auf Umleitungen, sprich Redirections, sprach dies durchaus für die Schlussfolgerung, dass man schädlichen Inhalten auf der Spur war. Ebenso wenn man auf bestimmte Gatekeeper stieß, die die Malware vor Scannern schützen sollte. Die automatischen Scan-Ansätze mit dem verwendeten Tool ließen darüber hinaus weitere Schlussfolgerungen zu.

So erfolgte eine systematische Betrachtung der verdächtigen Gruppe über eine gewisse Zeit hinweg. Die entsprechenden Einheiten wurden immer wieder untersucht, ob sie weiterhin aktiv blieben, auch im Hinblick auf die Erkennungsrate des Providers. Sowie die Beobachtung der verwendeten Tarnung und Ausweichtechniken, die es den verdächtigen Einheiten weiterhin erlauben aktiv zu sein.

Schädliche Inhalte vermeiden und entfernen

Abseits dieser ganz interessanten Erkenntnisse, stellt sich die Frage, was Endanwender-Unternehmen tun können, um sich zu schützen. Und wie können Cloud-Provider entsprechende Inhalte finden und entfernen?

Zunächst können die von den Forschern beschriebenen Methoden durchaus in der Sicherheitsstrategie der Cloud-Provider Berücksichtigung finden. Schließlich schaden diese Inhalte den Anbietern auf unterschiedliche Weise. Eine Möglichkeit, diese zu erkennen, dürfte daher durchaus mit einem wirtschaftlichen Interesse einhergehen.

Zudem mussten die Forscher erkennen, dass sie nicht in der Lage waren, die Inhalte so tiefgehend zu untersuchen, wie es ein Cloud Provider möglicherweise könnte. Nachdem nun die Häufigkeit entsprechender Schadinhalte aufgezeigt wurde, können die Anbieter ihre entsprechenden Fähigkeiten ausbauen, um dem Problem zu Leibe zu rücken.

Für Anwenderunternehmen existieren da weniger direkte Handlungsmöglichkeiten. Sicherlich sorgen derlei Untersuchungen für ein erhöhtes Sicherheitsbewusstsein. Zudem können die Verfahren zur Untersuchung von Inhalten an die Sachlage angepasst werden.

Unternehmen sollten im Dialog mit dem Cloud-Anbieter Abwehrmaßnahmen für die genutzten Dienste implementieren. Zudem sollte in der Sicherheitsstrategie berücksichtigt werden, dem Mitarbeiter im Falle eines Falles den Zugriff auf nicht vertrauenswürdige Repositories entziehen zu können, wenn es das Unternehmen für angemessen hält.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Malware-Verbreitung: Risiko Cloud-Sync-Verzeichnisse

DDoS-Angreifer nutzen Cloud-Dienste

Unternehmen auf Cloud-DDoS-Attacken vorbereiten

Cloud Security: Regeln für die sichere PaaS-Nutzung

 

Artikel wurde zuletzt im April 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Cloud-Sicherheitsstandards

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close