Het groeiende risico van applicaties van derden: veilig blijven in de cloud.

Een beeld van , Security & Data, Het groeiende risico van applicaties van derden: veilig blijven in de cloud.

Toepassingen van derden uitvoeren in a wolk omgeving is een groeiend beveiligingsrisico voor organisaties geworden, waardoor workloads een groter risico lopen, vooral wanneer de software van derden een API-functie blootstelt aan het openbare web. Het gebrek aan beheer, controle en inzicht in deze applicaties van derden en de softwaretoeleveringsketen in het algemeen, is de reden waarom aanvallers zich steeds vaker op hen richten om informatie te verzamelen en organisaties te infiltreren.

De hedendaagse cyberaanvallers zijn voortdurend bezig met het ontwikkelen van hun technieken, waardoor moderne cloud-native workloads een zeer verleidelijk doelwit zijn. Naast het exploiteren van web-API's om cryptomining-campagnes te ontketenen, maken ze ook misbruik van gratis tier-aanbiedingen van populaire cloud-CI/CD-platforms om rekenkracht eenvoudig om te zetten in digitale munten.

Het onderzoeksteam van Aqua heeft onlangs tienduizenden gebruikerstokens ontdekt die worden blootgesteld via de Travis CI API, waarmee iedereen toegang heeft tot historische logboeken met duidelijke tekst. Er zijn meer dan 770 miljoen logs van gratis tier-gebruikers beschikbaar, waaruit u eenvoudig tokens, geheimen en andere inloggegevens van populaire cloudserviceproviders kunt extraheren. Aanvallers kunnen deze gevoelige gegevens gebruiken om massale cyberaanvallen uit te voeren en zich lateraal in de cloud te verplaatsen.

In dat geval zijn de bevindingen gerapporteerd aan Travis CI en de relevante dienstverleners, waarbij sommigen een brede sleutelrotatie in gang hebben gezet. Om echter te begrijpen hoe kwetsbaarheden in scripts van derden cybercriminelen in staat stellen toegang te krijgen en een aanval uit te voeren, moeten we kijken naar de methoden die kwaadwillenden gebruiken om hun activiteiten te verbergen en detectie te voorkomen.

Laten we hiervoor een andere interessante aanval afbreken die is vastgelegd door Aqua's onderzoeksteam, dit keer op een Apache Struts 2-container.

Stap 1: Eerste toegang en ontduiking van verdediging

Apache Struts 2 is een populaire open source platformonafhankelijke webtoepassingsframework dat door veel ontwikkelaars in hun dagelijkse werk wordt gebruikt. Het team analyseerde hoe aanvallers misbruik maakten van een Apache Struts 2-kwetsbaarheid die het uitvoeren van externe code (RCE) mogelijk maakt onder de privileges van de Apache-webserver.

Nadat ze een HTTP GET-verzoek hadden geïnitieerd om te controleren of een server kwetsbaar is, lanceerden de hackers een tweede HTTP GET-verzoek met een uitvoeringsopdrachtregel die een shellscript downloadt en uitvoert in de container van die organisatie.

Nu de initiële toegangsaanval is voltooid, is het eerste doel van het shellscript om de beveiliging te ondermijnen en de weg vrij te maken voor de volgende acties. Naast het uitschakelen van firewalls, het toestaan ​​van verkeer en het verwijderen van LD_PRELOAD, voert het script meerdere kill-commando's uit om concurrerende malware of processen zoals cryptominers en cloudagents te elimineren.

Nadat al deze taken zijn voltooid, verwijderen de aanvallers vervolgens logbestanden in een poging hun sporen uit te wissen en detectie achteraf te voorkomen.

Stap 2: Uitvoering

Omdat de hackers de weg hebben vrijgemaakt voor de algehele aanval, stelt het script variabelen in en een 'get'-functie die wordt gebruikt om het belangrijkste malware-binaire bestand - een cryptominer - te downloaden en uit te voeren. Verpakt door UPX om detectie via hashes te voorkomen, heeft dit binaire bestand twee functies.

Naast het uitvoeren van cryptomining, kijkt het ook actief naar het uitvoeren van meer cryptominers op meer containerinstanties. Het doet dit door alle beschikbare referentie-informatie in de container zelf te verzamelen en een lus te gebruiken om verbinding te maken met aangrenzende systemen, zodat het hetzelfde malwarescript kan downloaden en uitvoeren op deze laterale systemen. Uit de analyse die we op deze specifieke aanval hebben uitgevoerd, bleek dat de malware een enorme scan uitvoerde in een poging om open SSH- (poort 22) en Redis (poort 6379)-poorten in het interne containernetwerk te vinden, waarbij meer dan 24,000 pakketten naar die twee poorten werden verzonden.

Stap 3: laadvermogen

Nu veilig genesteld in de container, voert de malware een ander exemplaar uit van hetzelfde binaire bestand met een andere procesnaam, en maakt verbinding met de command-and-control (C&C)-server van de aanvallers om een ​​'coinminer'-variant te downloaden en uit te voeren. Om cryptomining-inspanningen te ondersteunen en te verbeteren, probeerde de aanvaller ook een MSR-kernelmodule te laden om de algehele snelheid van het mijnbouwproces te verhogen.

Toenemende risicofactoren

Organisaties hebben te maken met moderne bedreigingsactoren die altijd op zoek zijn naar nieuwe manieren om bekende kwetsbaarheden in software van derden te misbruiken. Vorig jaar steeg het aantal gevallen van cryptomining-malware met 300%. Zodra een kwetsbaarheid is geïdentificeerd, kunnen aanvallers cyptomer-malware installeren op nietsvermoedende organisaties. Door het mijnbouwproces uit te voeren met behulp van de verwerkingsbronnen van iemand anders, kunnen de aanvallers winstgevende digitale schatten genereren.

Aanvallen op crypto-valutaminingsoftware kunnen leiden tot aanzienlijke prestatieproblemen in servers, databases en applicatieontwikkelingsframeworks en zelfs Denial of Service (DoS) -scenario's.

Zodra er echter een eerste voet aan de grond is gekomen in de omgeving van een organisatie, is er weinig dat slechte actoren ervan weerhoudt hun inspanningen te richten op andere waardevollere activa.

De aanvallers van tegenwoordig zijn altijd bezig hun tactieken aan te scherpen om hun cryptomining-activiteiten te verbergen. Naast het uitschakelen van firewalls, deactiveren ze de niet-maskerbare interrupt die aandacht geeft voor niet-herstelbare hardwarefouten en systeemresets. Bovendien downloaden ze gecodeerde en versluierde shellscripts om te voorkomen dat beveiligingstools hun bedoeling begrijpen. Uiteindelijk is hun doel om zo lang mogelijk detectie te ontwijken en het potentieel voor terugkeer te maximaliseren.

Uw cloudomgeving beveiligen

Organisaties hebben een grote taak om alle workloads en software in een cloudomgeving bij te houden, vooral vanwege de meedogenloze snelheid van de moderne DevOps-cyclus. Om de beveiliging te verbeteren, moeten organisaties overwegen om twee-factor-authenticatie voor alle gebruikers af te dwingen, vertakkingsbeveiligingsbeperkingen in te stellen en gevorkte pull-verzoeken te beperken om op het CI-platform te worden uitgevoerd. Naast het vinden en oplossen van bekende CVE's en beveiligingsfouten, is het continu monitoren van containers en het oplossen van verdachte gedragspatronen essentieel. Door gebruik te maken van runtime-analyse, met tools die ingebouwde regelsets bevatten, op applicaties van derden, zoals Apache Struts 2, kunnen potentiële

runtime-aanvallen en exploits. Op de lange termijn kan een speciale oplossing die de toegang van derden in de softwaretoeleveringsketen van een organisatie goed regelt, dergelijke risico's in de toekomst helpen voorkomen.

Het opwaarderingsplan van Groot-Brittannië

Amber Coster • 26 april 2022

Werken op afstand zou meer dan 13 miljoen Britten* in staat kunnen stellen de kans te grijpen om buiten de grote steden te wonen en te werken, en zo economische kansen over het VK te verspreiden, volgens onderzoek dat vandaag is vrijgegeven door ClickUp, het alles-in-één productiviteitsplatform.

De helden van technologie

Steven Johnson • 26 april 2022

We hebben de neiging om geweldige bedrijfsleiders te aanbidden, maar er zijn duizenden vernieuwers wiens ideeën - van kleine functies tot gecompliceerde algoritmen - ons leven gemakkelijker, gezonder, veiliger en handiger hebben gemaakt. Maak kennis met Hidden Heroes, een nieuwe publicatie die is ontworpen om hun verhalen te vertellen en hen het eerbetoon te brengen dat ze verdienen.