LOL-Angriffe in der Cloud

LOL-Angriffe sind besonders schwer zu erkennen. Sie verwenden weder eine Malware noch bösartigen Code, was es erheblich schwieriger macht, Angriffe als solche zu identifizieren.

Sie verwenden vielmehr native, interne Anwendungen und Befehle (wie Windows Command Shell/CMD, PowerShell, Windows Management Interface, Schtasks, etc.). Die bösartigen Aktivitäten werden dem regulären Datenverkehr beigemischt und verbleiben so oft monatelang unentdeckt in der Umgebung des Opfers, ohne Spuren oder Artefakte zu hinterlassen.

Das Risiko von LOL-Angriffen in der Cloud  

Es kann kaum verwundern, dass Cyberkriminelle ihre Aufmerksamkeit zunehmend auf die Cloud lenken. Dazu bringen sie LOL-Techniken mit, die speziell auf Cloud-Infrastrukturen ausgerichtet sind, daher der Name LOC („Living-off-the-Cloud“) Angriffe. Die Azure Cloud-Plattform von Microsoft registriert beispielsweise rund 1,5 Millionen Angriffe täglich.

Wie funktionieren Living-off-the-Cloud-Angriffe?  

Genau wie bei herkömmlichen LOL-Attacken, bei denen die Angreifer ihre bösartigen Aktivitäten hinter legitimen Tools und Traffic verbergen, nutzen immer mehr Cyberkriminelle die Software-as-a-Service- (SaaS) und Infrastructure-as-a-Service-Anwendungen (IaaS) des Opfers selbst. Ziel ist es, die bösartigen Aktivitäten wie vertrauenswürdigen Cloud-Datenverkehr aussehen zu lassen.

Millionen von Nutzern und Unternehmen vertrauen auf Dienste und Anwendungen in der Cloud. Der betreffende Traffic wir zumeist nicht geprüft und passiert ganz legitim Firewalls und andere Verteidigungsmaßnahmen. Deshalb sind Living-off-the-Cloud-Angriffe (LOC) gleichermaßen schwer oder gar nicht zu erkennen. Außerdem spielen nicht wenige Cloud-Tools und Dienste eine Schlüsselrolle in Unternehmen. In den meisten Fällen kommt es nicht in Frage, diese Dienste zu blockieren, weil das nicht unerhebliche Auswirkungen auf die alltäglichen Geschäftsabläufe haben würde.

Dennoch, allein in der jüngsten Vergangenheit wurden etliche erfolgreiche LOC-Angriffe gemeldet. Hier nur einige Beispiele:

• • Cyberkriminelle haben Online-Speicherdienste wie Dropbox und Google Drive genutzt, um Malware-Payloads einzuschleusen.
  • Berichten zufolge haben Angreifer Atlassians Trello-Dienste missbraucht, um eigene Befehle auszuführen, Systeme zu kontrollieren und Daten auszuspionieren.
  • Angreifern ist es gelungen, Ngrok zu missbrauchen, einen cloudbasierten Dienst, den Entwickler nutzen, um Code ohne lästiges Domain-Hosting auszutauschen. Hier wurden bösartige Payloads an die Geräte der Opfer gesendet.Das Risiko von LOC-Angriffen senken  

    Es ist wie gesagt alles andere als trivial, LOC-Angriffe zu erkennen. Wer die folgenden Empfehlungen beherzigt, kann das Risiko aber deutlich senken:

    1. Ganzheitliche Systeme statt Silo-Tools   

    LOC-Angriffe laufen in mehreren Phasen ab: Sie infiltrieren Netzwerke etwa durch Phishing oder sie verwenden gestohlene Anmeldedaten. Anschließend kompromittieren sie die Systeme, weiten Zugriffsberechtigungen aus und bewegen sich lateral im Netz weiter. Alternativ verhalten sie sich ruhig und warten auf eine günstige Gelegenheit. Dennoch kann man in jeder dieser Phasen einen Angreifer daran hindern, sich weiter im Netz vorwärtszubewegen.

    Leider ist es immer noch oft so, dass Sicherheitstools in Silos und fragmentiert bereitgestellt werden.  Das erschwert es, den Kontext oder die Telemetrie dieser unterschiedlichen Kontrollmechanismen wirklich zu verstehen. Eine alternative Option ist eine Cloud-native (also direkt über die Cloud bereitgestellte) Single-Pass-Architektur in einer SASE (Secure Access Software Edge)-Lösung. SASE liefert einen Echtzeit-Überblick über das gesamte Ökosystem (von den Endpunkten über die Geräte, die Benutzer und Clouds bis hin zum Netzwerk sowie der Cybersecurity-Makroumgebung). Im Falle eines plötzlich eintretenden, unvorhergesehenen Vorfalls behalten Unternehmen so jederzeit die nahtlose Kontrolle über ihre IT-Umgebung.

    2. Den unbefugten Zugang und die unbefugte Nutzung von Anwendungen beschränken  

    Gewähren Sie Benutzern, Identitäten oder Anwendungen keine allgemeinen Zugriffsrechte. Nur weil ein Benutzer authentifiziert wurde, heißt das nicht, dass er Zugriff auf alle Unternehmens- und Systemressourcen haben sollte. Verfolgen Sie in Sachen Sicherheit einen Zero-Trust-Ansatz, bei dem alle Zugriffsanfragen daraufhin geprüft werden, was angefragt wird, wer die Anfrage stellt und in welchem Kontext sie steht (Uhrzeit, Standort, Gerätekennung, Verhaltensmuster oder an Cloud-Dienste gesendetes Datenvolumen usw.).

    Konfigurieren Sie granulare Kontrollen für Ihre Anwendungen. Unternehmen können Ihre Einstellungen beispielsweise so wählen, dass sie nur geschäftliche Dropbox-Instanzen zulassen. Wenn eine andere als die genehmigten Instanzen erkannt wird, werden die jeweiligen Benutzer blockiert. Alternativ können Unternehmen einen offenen Dropbox-Zugang gewähren, aber verhindern, dass Dateien mit proprietären oder vertraulichen Daten wie Sozialversicherungsnummern, personenbezogenen Daten oder Kreditkarteninformationen auf eine Cloud-Entität hochgeladen werden.

    3. Mitarbeitende regelmäßig schulen, gerade im Hinblick auf Phishing  

    Phishing ist nach wie vor einer der am häufigsten eingesetzten Wege, über den sich Angreifer einen ersten Zugang verschaffen. Das gilt auch für LOC-Angriffe. Schulen Sie Ihre Mitarbeitenden regelmäßig, damit sie nichts anklicken, herunterladen oder beantworten, dass sie besser unangetastet lassen sollten. Erläutern Sie, wie Cloud-Dienste missbraucht werden können, und schaffen Sie ein entsprechendes Bewusstsein. Dann ist jeder Einzelne aufmerksam und meldet potenziell anomales Verhalten. Nach Einschätzung der Analysten von Gartner werden bis 2025 95 % des digitalen Arbeitspensums über Cloud-native Plattformen abgewickelt  – verglichen mit lediglich 30 % im Jahr 2021. Wenn sie es nicht schon längst ist, wird sich die Cloud-Technologie endgültig zum Mainstream entwickeln. Das macht es unabdingbar, die eigene Architektur, die geltenden Richtlinien und die gesamte Cybersicherheitskultur stärker auf die Cloud zu fokussieren. Nur so haben Unternehmen die Möglichkeit, vorausschauend auf die sich ständig wandelnde, allgegenwärtige und anhaltende Bedrohungslandschaft zu reagieren sowie auf Angriffe, die immer häufiger die Cloud ins Visier nehmen.

LOL attacks are particularly difficult to detect. They do not use malware or malicious code, making it significantly more difficult to identify attacks as such.

Rather, they use native, internal applications and commands (such as Windows Command Shell/CMD, PowerShell, Windows Management Interface, Schtasks, etc.). The malicious activities are mixed in with regular traffic and thus often remain undetected in the victim’s environment for months without leaving any traces or artifacts.

The risk of LOL attacks in the cloud 

It can hardly come as a surprise that cybercriminals are increasingly turning their attention to the cloud. To do so, they are bringing LOL techniques specifically targeted at cloud infrastructures, hence the name LOC („living-off-the-cloud“) attacks. Microsoft’s Azure cloud platform, for example, registers around 1.5 million attacks a day.

How do living-off-the-cloud attacks work? 

Just like traditional LOL attacks, where attackers hide their malicious activities behind legitimate tools and traffic, more and more cybercriminals are using the victim’s own software-as-a-service (SaaS) and infrastructure-as-a-service (IaaS) applications. The goal is to make the malicious activity look like trusted cloud traffic.

Millions of users and enterprises rely on services and applications in the cloud. The traffic in question is mostly unscreened and legitimately passes firewalls and other defenses. As a result, live-off-the-cloud (LOC) attacks are equally difficult or impossible to detect. In addition, quite a few cloud tools and services play a key role in enterprises. In most cases, blocking these services is out of the question because it would have a not-insignificant impact on day-to-day business operations.

Nevertheless, quite a few successful LOC attacks have been reported in the recent past. Here are just a few examples:

o Cybercriminals have used online storage services such as Dropbox and Google Drive to inject malware payloads.

o Attackers have reportedly abused Atlassian’s Trello services to execute their own commands, control systems, and spy on data.

o Attackers have managed to abuse Ngrok, a cloud-based service that developers use to share code without cumbersome domain hosting. Here, malicious payloads were sent to victims‘ devices.

Lowering the risk of LOC attacks 

As mentioned, it is far from trivial to detect LOC attacks. However, those who heed the following recommendations can significantly reduce the risk:

1. Use holistic systems instead of silo tools.

LOC attacks take place in several phases: They infiltrate networks through phishing, for example, or they use stolen credentials. They then compromise systems, expand access privileges, and move laterally across the network. Alternatively, they remain quiet and wait for a favorable opportunity. Nevertheless, at any of these stages, it is possible to prevent an attacker from moving further forward in the network.

Unfortunately, it is still often the case that security tools are deployed in silos and fragmented.  This makes it difficult to truly understand the context or telemetry of these different control mechanisms. An alternative option is a cloud-native (i.e., delivered directly through the cloud) single-pass architecture in a SASE (Secure Access Software Edge) solution. SASE provides real-time visibility across the entire ecosystem (from endpoints to devices to users to clouds to the network to the cybersecurity macro environment). In the event of a sudden, unforeseen incident, enterprises thus maintain seamless control of their IT environment at all times.

2. Restrict unauthorized access and use of applications

Do not grant general access rights to users, identities, or applications. Just because a user has been authenticated doesn’t mean they should have access to all corporate and system resources. Take a zero-trust approach to security, where all access requests are reviewed for what is being requested, who is making the request, and the context of the request (time, location, device identifier, behavior pattern or volume of data sent to cloud services, etc.).

Configure granular controls for your applications. For example, organizations can choose their settings to allow only business Dropbox instances. If any instance other than the approved ones is detected, the respective users will be blocked. Alternatively, companies can grant open Dropbox access but prevent files containing proprietary or confidential data such as social security numbers, personal information or credit card information from being uploaded to a cloud entity.

3. Train employees regularly, especially with regard to phishing.

Phishing remains one of the most common ways attackers gain initial access. This is also true for LOC attacks. Train your employees regularly so they don’t click, download or reply to anything they’d be better off leaving untouched. Explain how cloud services can be abused and create awareness. Then individuals will be alert and report potentially anomalous behavior. Gartner analysts estimate that 95% of digital workloads will be done on cloud-native platforms by 2025, up from just 30% in 2021. If it isn’t already, cloud technology will finally become mainstream. This makes it imperative to focus their own architecture, applicable policies and overall cybersecurity culture more on the cloud. Only then will enterprises have the ability to proactively respond to the ever-changing, pervasive and persistent threat landscape, as well as attacks that increasingly target the cloud.