Dieser Artikel ist Teil unseres Guides: Sicherheit für hybride IT-Infrastrukturen gewährleisten

Man-in-the-Cloud-Attacken erkennen und abwehren

Bei MitC-Angriffen schleichen sich Angreifer über Cloud-Storage-Dienste und synchronisierte Ordner ins Unternehmen. Das Risiko lässt sich reduzieren.

In den letzten Jahren hat die Kapazität der auf Cloud-Speichern abgelegten Informationen erheblich zugenommen. Dienste wie Dropbox, Microsoft OneDrive oder Google Drive machen Anwendern die Nutzung von Cloud-Storage denkbar leicht. Mit wenigen Mausklicks lässt sich eine preiswerte oder sogar kostenlose Synchronisation zwischen einem lokalen Verzeichnis und einer Cloud-basierten Kopie des Ordners einrichten.

Die Vorteile dieser Cloud-Speicher für Anwender sind vielfältig: so steht automatisch ein Cloud-Backup der lokalen Dateien zur Verfügung, es lassen sich einfach Dateien mit anderen austauschen und man hat von unterschiedlichen Geräten und Systemen Zugriff auf die Daten.

Und wenn Dienste beliebt sind und von vielen Anwendern genutzt werden, sind Angreifer meist nicht weit. So haben erfindungsreiche Angreifer ein Verfahren etabliert, dass als Man-in-the-Cloud-Angriff oder MitC-Attacke bezeichnet wird.

Wie funktionieren Man-in-the-Cloud-Attacken?

Das Prinzip dieser Angriffsform ist relativ trivial. Für die Synchronisation mit dem Cloud-Dienst wird üblicherweise ein Token verwendet, um Zugriff auf das korrekte Konto und die Daten zu erhalten. Der Angreifer versucht dem Opfer meist auf dem klassischen E-Mail-Weg eine Malware unterzujubeln. Dies geschieht oft über einen Social-Engineering-Angriff. Wird die Malware gestartet, verschiebt sie den Synchronisations-Token des Opfers in das Verzeichnis, das synchronisiert wird. Danach wird dieser Original-Token durch einen vom Angreifer speziell präparierten ersetzt.

Dieser neue Token verweist auf ein Konto, auf das der Angreifer Zugriff hat. Bei der nächsten Synchronisation wird der originale Synchronisations-Token in das Cloud-Konto des Angreifers kopiert. Der Angreifer kann diesen herunterladen und nutzen. Zudem hat er damit Zugriff auf die in der Cloud abgelegten Daten des Opfers. So kann der Angreifer auch infizierte Dokumente auf das Zielverzeichnis des Anwenders lancieren. Typischerweise können dafür häufig verwendete Dokumente benutzt werden, denen das Opfer vertraut. Abschließend kann die Malware den Original-Token wieder zurückkopieren und die meisten Spuren des Angriffs verwischen.

Es existieren unterschiedliche Versionen dieser Man-in-the-Cloud-Methode. Manche sind sehr speziell an die jeweilige Cloud-Plattform angepasst und bieten einige zusätzliche Funktionen. Beispielsweise wird eine Back Door eingerichtet. Prinzipiell funktionieren jedoch alle Verfahren recht ähnlich und aufgrund der Bedeutung der synchronisierten Daten ist diese Angriffsart sehr gefährlich.

Man-in-the-Cloud-Angriffe erkennen

Es ist relativ kniffelig, eine MitC-Attacke zu erkennen. Üblicherweise melden sich die Anwender nicht jedes Mal neu bei der Cloud-Speicherlösung an. Es findet ja ein Login-Prozess gegenüber einem Cloud-Dienst mit einem Synchronisations-Token statt. Ohne zusätzlichen Kontext werden Überwachungslösungen wie Intrusion-Detection-Systeme und auch die Proxy-Logfiles nur einen legitimen Cloud-Zugriff registrieren und keinen Alarm auslösen. Theoretisch könnte ein wachsamer Nutzer je nach System über das Portal der Storage-Lösung erkennen, dass ein Login von einem anderen Standort aus erfolgt ist. Aber das ist ja nun nicht gerade eine zuverlässige Erkennungsmethode.

Da sind die Chancen höher, bereits den Social-Engineering-Angriff beziehungsweise die Phishing-E-Mail mit der Malware im Gepäck abzufangen. Ein E-Mail-Security-Gateway kann da entsprechende Dienste leisten. Und auf dem angegriffenen Zielsystem können traditionelle oder auch verhaltensbasierten Antimalware-Lösungen für Schutz sorgen. Bei einer Erkennung zu diesem Zeitpunkt lässt sich der Angriff noch automatisch oder manuell abwehren.

MitC-Attacken – den Schaden begrenzen

Wenn ein Man-in-the-Cloud-Angriff erkannt wurde, gilt es Beweise zu sammeln, die Folgen zu beurteilen und Schadensbegrenzung zu betreiben. Wie bereits erwähnt, sorgen viele Angreifer dafür, dass die Änderungen am System nachträglich wieder rückgängig gemacht werden. Glücklicherweise ist dies nicht immer so.

Einige Angreifer agieren eher sorglos im Hinblick auf ihre Hinterlassenschaften. Manchmal schlägt so ein Angriff fehl, manchmal klappt nur der Aufräumvorgang nicht wie beabsichtigt. In jedem Fall gilt es die verbliebenen Malware-Dateien zu entfernen. Es ist durchaus ratsam, das betroffene Cloud-Konto zu schließen und ein neues anzulegen. Damit wird sichergestellt, dass der betroffene Token nicht wiederverwendet werden kann. Je nach Anbieter kann es hier auch unterschiedliche Funktionen im Hinblick auf das Ungültig-Erklären von Tokens geben, aber hier lässt sich der Erfolg schwer nachvollziehen.

Man-in-the-Cloud-Angriffe – vorbeugende Maßnahmen

Da vielen dieser Angriffe eine Social-Engineering-Attacke zugrunde liegt, ist eine entsprechende Schulung der Mitarbeiter ein lohnenswertes Unterfangen. Wird dies zusätzlich mit technischen Maßnahmen kombiniert, lässt sich das Angriffsrisiko durchaus reduzieren. Erfahrungsgemäß verringert sich die Wahrscheinlichkeit, dass ein Anwender eine entsprechende Mail öffnet, nach einer solchen Schulung deutlich – wenn diese nicht allzu lang zurückliegt. Ohne eine erfolgreiche Mail-Attacke gelangt der Angreifer auch nicht ins Unternehmensnetz. Öffnet der Endanwender eine derartige Mail, sollte eine gute Antimalware-Lösung dies erkennen und blockieren, ohne dass ein Eingreifen des Nutzers vonnöten wäre.

Geradezu prädestiniert für den Einsatz gegen MitC-Angriffe ist ein Cloud Access Security Broker (CASB). Ein CASB überwacht den Traffic von und zur Cloud und lässt sich auf verschiedene Weise implementieren. Beispielsweise als eine Art Proxy oder auch per API. Unabhängig davon sind diese Lösung in der Lage, den Cloud-Verkehr auf Account-Anomalien zu überwachen, was bei einer MitC-Attacke der Fall wäre.

Unternehmen sollten sich der Bedrohung durch Man-in-the-Cloud-Angriffe bewusst sein und ihre Anwendungen und Infrastrukturen hinsichtlich der Angriffsfläche auf den Prüfstand stellen. Zudem sollte natürlich transparent sein, welche Cloud-Dienste von den Mitarbeitern genutzt werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Malware-Verbreitung: Risiko Cloud-Sync-Verzeichnisse

Der richtige Umgang mit Logfiles aus Cloud-Umgebungen

Cloud Access Security Broker: Die passende Architektur auswählen

Online-Datenspeicher vor Man-in-the-Cloud-Angriffen schützen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close