zurück zur Übersicht

Cloud-Albtraum: Unsichtbare Backdoors bei Amazon

Dunkle Wolken über der Amazon CloudIn den letzten Wochen hat Cloud Security Spezialist Daniel Grzelak auf seinem persönlichen Blog drei brisante Posts zur Sicherheit von AWS (Amazon Web Services) veröffentlicht.

Alle Ausführungen setzen voraus, dass ein AWS Account einmal kompromittiert wurde. Da Cloud-Dienste größtenteils eingekauft werden und der Betrieb auch zu Dienstleistern ausgelagert sein kann, ist dies aber gar nicht so unwahrscheinlich.

Verwischte Spuren

Im ersten Schritt wird versucht das Logging zu unterbinden bzw. gezielt und unbemerkt zu zensieren. So kann man ungehindert und unbeobachtet agieren. Dazu beschreibt Grzelak verschiedenste Möglichkeiten, vom offensichtlichen Abschalten bzw. Löschen des Logs bis hin zum Verschlüsseln des Logs. „AWS Lambda (Management Skripte für AWS) bietet sogar die Möglichkeit Logs direkt nach dem Erstellen wieder zu löschen. Aufgrund der Implementierung von AWS Lambda wird das Löschen hier ausgeführt vor allen anderen möglichen Zugriffen auf diese Daten. Auch eine Ausleitung der Logs würde dadurch hier ins Leere greifen.

Ist das Logging entsprechend den „Wünschen“ des Angreifers angepasst, beschreibt Grzelak in seinem zweiten Post verschiedenste Vorgehen, um sich in die Tiefe auszubreiten. Sogar ein Eindringen in das interne Netz, an welches die AWS Instanz über AWS Direct Connect angebunden ist, wäre möglich. Weiter kann auch das Zugriffs- und Rechtemodell mit AWS Identity and Access Management (IAM) entsprechend ausgeleuchtet werden. Zudem kann über die AWS Support API detaillierte System und Support Ticket Informationen von der Command Line abgerufen werden.

Dauerhafter Brückenkopf in der Cloud

Im dritten Blogpost beschreibt Grzelak detailliert, wie man sich mehr oder weniger dauerhaft in einen AWS Account einnisten kann. AWS Lambda kann dazu missbraucht werden Backdoors zu neu erstellten Zugangs-Credentials hinzuzufügen. Und sollte jemand versuchen diese „Backdoor Credentials“ zu löschen, werden diese automatisiert neu erstellt.

Diese Artikel beleuchten wie unglaublich wichtig es ist, rund um die Uhr ein Auge auf AWS und andere Cloud Dienste zu haben. Denn der entscheidende Punkt hierbei ist: wenn nicht erkannt wird, dass ein Angreifer Zugriff auf einen entsprechenden AWS Account bekommt bzw. dass wesentliche Änderungen vorgenommen werden, kann es schnell dazu kommen, dass man komplett blind wird und jegliche Sichtbarkeit in Bezug auf Logs verliert.

Eine Anbindung an ein SIEM (Security Information and Event Management) zur stetigen Überwachung ist ein unverzichtbarer Schritt, um Cloud Dienste sicher nutzen zu können.

 


 

Quellen:

https://danielgrzelak.com/disrupting-aws-logging-a42e437d6594
https://danielgrzelak.com/exploring-an-aws-account-after-pwning-it-ff629c2aae39
https://danielgrzelak.com/backdooring-an-aws-account-da007d36f8f9

Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar