Suchen

Expertenbeitrag

 Thomas Ehrlich

Thomas Ehrlich

Regional Director DACH & Eastern Europe, Netskope

Security Wie durch Corona Cloud-basierte Bedrohungen zunehmen

| Autor / Redakteur: Thomas Ehrlich / Sebastian Human

Die Corona-Krise wirkt sich nicht nur als Beschleuniger der digitalen Transformation aus. Auch Cyberkriminelle erhalten durch die Folgen der Krise neue attraktive Angriffspunkte – einer davon ist die Cloud.

Firma zum Thema

Cloud-Dienste sind ein wichtiger Bestandteil effektiver Remote-Arbeit – erweisen sich aber auch als potenzielle Sicherheitsschwachstelle.
Cloud-Dienste sind ein wichtiger Bestandteil effektiver Remote-Arbeit – erweisen sich aber auch als potenzielle Sicherheitsschwachstelle.
(Bild: gemeinfrei / Unsplash)

Krisen sind auch immer Chancen zu lernen und sich zu verbessern. So haben im Zuge der Corona-Pandemie viele Unternehmen neue Technologien ein- und Remote Access-Projekte umgesetzt, um ihre Mitarbeiter jenseits der traditionellen Unternehmensmauern einzubinden. Und zwar deutlich umfangreicher und schneller, als es ohne COVID-19 der Fall gewesen wäre.

Entsprechend konnten wir in den letzten Monaten eine radikale Verlagerung hin zu Cloud-Anwendungen, Kollaborations- und Konferenztools und die massenhafte Einführung von Fernzugriffstechnologien (seien es traditionelle VPNs oder fortschrittlicher Zero-Trust-Zugang) beobachten.

All diese Faktoren haben das Ende des klassischen Perimeters dramatisch beschleunigt und Unternehmen neuen Risiken ausgesetzt. Von Zuhause arbeitende Mitarbeiter wurden so zum schwächsten Glied des Unternehmens und eine leichte Beute für Cyberkriminelle. In der aktuellen Homeoffice-Situation sind sie noch verwundbarer als zuvor im herkömmlichen Büro: Erstens wegen der emotionalen Belastung, die COVID-19 mit sich bringt (etwa Besorgnis über die gegenwärtige Situation und die zukünftigen Auswirkungen), und zweitens, weil in den meisten Fällen die Arbeit an entfernten Standorten eingeführt wurde, ohne die Mitarbeiter hinreichend über die Risiken aufzuklären. Es musste alles schnell gehen, die Aufrechterhaltung des Betriebs stand im Vordergrund, während Sicherheitsaspekte eher vernachlässigt (beziehungsweise auf „später“ verschoben) wurden.

Es ist somit nicht überraschend, dass Cyberkriminelle schnell recht einfache Wege gefunden haben, um aus der Situation Profit zu schlagen. So wurde der für viele Mitarbeiter neue Einsatz von Kollaborationsplattformen als gute Möglichkeit identifiziert, entsprechende Nachrichten, vorgeblich im Namen der großen Anbieter wie Zoom, Webex oder Microsoft Teams, im Rahmen von Phishing-Kampagnen zu versenden.

Bedrohungen aus der Cloud

Beim klassischen VPN-Modell läuft der gesamte Endpoint-Traffic über einen Tunnel ins Unternehmensnetzwerk. Durch die zunehmende Cloud-Nutzung ist dieser Ansatz jedoch immer unzureichender geworden und hat Auswirkungen auf den Bandbreitenverbrauch, die Leistung und die Benutzererfahrung (wie man oftmals bei Cloud-Conferencing-Anwendungen feststellen kann). Um die Performance zu steigern, wurde oftmals die Sicherheit herabgesetzt, etwa durch die Deaktivierung des Split-Tunneling. Dies führt zu einem Verlust der Transparenz (und Sicherheit) des Verkehrs außerhalb des VPN-Tunnels. Dieser Schattenverkehr, der aus persönlichen und nicht genehmigten Cloud-Anwendungen besteht, stellt eine ernsthafte Gefahr dar, da er nicht überwacht wird und ein Tor zu Unternehmensressourcen darstellt.

In diesem Zusammenhang ist GuLoader besonders interessant. GuLoader ist ein Malware-Downloader, der erstmals Ende Dezember 2019 beobachtet wurde, als er zur Verbreitung des Parallax Remote Access Tools verwendet wurde. Seitdem hat er immer mehr an Beliebtheit gewonnen und wurde zur Verteilung verschiedener bösartiger Payloads verwendet, darunter der AgentTesla-Keylogger, der NanoCore RAT (die beide in COVID-19-Themenkampagnen verwendet wurden) sowie zusätzliche Fernzugriffstools wie Netwire und Remcos. Der wesentliche Aspekt dabei ist die Fähigkeit, die verschlüsselte Payload von Cloud-Diensten wie Google Drive oder OneDrive herunterzuladen. Wir sehen also, dass die Cloud für Cyberkriminelle ebenso überzeugend ist wie für Unternehmen.

Warum die Cloud für Kriminelle so attraktiv ist

Die Nutzung von Cloud-Diensten ist für Angreifer aus mehreren Gründen interessant: Sie bieten einfaches Hosting, sind einfach zu verwalten und ermöglichen den häufigen und schnellen Wechsel zwischen unterschiedlichen Payloads. Vor allem bieten sie herausragende Möglichkeiten, Sicherheitstechnologien zu umgehen, da viele der (eben auch von Cyberkriminellen genutzten) Dienste als vertrauenswürdig eingestuft sind und entsprechend auf der Whitelist stehen. Traditionelle Web-Sicherheitslösungen wurden nicht für die Überwachung von Cloud-Diensten konzipiert, so dass ihnen der Kontext fehlt, ob es sich beispielsweise um einen Cloud-Dienst für Unternehmen oder Privatpersonen handelt, und sie nicht in der Lage sind, die Sprache der APIs zu verstehen, das heißt, ihnen fehlt jeglicher Einblick in die Nutzung.

GuLoader ist auf den COVID-19-Zug aufgesprungen und wird von Angreifern in mehreren Malware-Verbreitungskampagnen mit ähnlicher Vorgehensweise eingesetzt. So wird beispielsweise GuLoader dem Opfer als vermeintliche E-Mail der WHO zugestellt und ist als E-Book mit wichtigen Anweisungen getarnt. Sobald dieses geöffnet wird, lädt es den FormBook Information Stealer direkt von Google Drive herunter und führt ihn aus. FormBook steht als Malware-as-a-Service zur Verfügung und ist recht einfach einzurichten und zu bedienen, auch für weniger versierte Kriminelle. Gleichzeitig ist sie auch sehr gefährlich: Die Malware ist in der Lage, verschiedene Arten von Informationen wie Tastatureingaben, Zwischenablage und Authentifizierungsdaten aus der Browsersitzung zu stehlen.

Bei dieser Art von Angriffen kommen also mehrere entscheidende Faktoren zusammen: Die emotionale Notlage und der Stress des Opfers, die Autorität einer vertrauenswürdigen internationalen Organisation wie der WHO und ein bekannter, vertrauenswürdiger Dienst wie Google Drive. Durch diese Kombination werden traditionelle Abwehrmechanismen in aller Regel effektiv umgangen.

Entsprechend wichtig ist bei der Implementierung einer Fernzugriffslösung die Sensibilisierung der Mitarbeiter und der Einsatz von Cloud-nativen Sicherheitslösungen, die in der Lage sind, Cloud-native Bedrohungen zu adressieren.
Oder anders ausgedrückt: Sicherheit für die Cloud kann nur aus der Cloud kommen. Jetzt, da sich die Situation in vielen Ländern zunehmend entspannt, ist es an der Zeit, in Sachen Sicherheit nachzuziehen und das Homeoffice (zukunfts-)sicher zu machen.

(ID:46678335)

Über den Autor

 Thomas Ehrlich

Thomas Ehrlich

Regional Director DACH & Eastern Europe, Netskope