Cryptocurreny mining-malware gericht op de cloud
Door de groei van cryptocurrency mining-malware in de afgelopen jaren, zoeken cybercriminelen constant naar nieuwe methoden om geld te verdienen.
Door de groei van cryptocurrency mining-malware in de afgelopen jaren, zoeken cybercriminelen constant naar nieuwe methoden om geld te verdienen. Zij richten zich daarbij steeds vaker tot de cloud – en dan met name de zakelijke cloud-infrastructuur. Een rapport van AT&T onderscheidt vier methoden die cybercriminelen gebruiken om deze cloud-infrastructuur te targeten: gecompromitteerde management-platforms, malafide Docker-afbeeldingen, diefstal van API-sleutels en uitbuiting van control panels.
Dit kan een serieuze bedreiging vormen voor uw DevOps-projecten. We ontwikkelden daarom een Deep Security Smart Check, op basis van AI. Probeer het 30 dagen gratis.
1. Misbruik van gecompromitteerde container management-platforms
Developers gebruiken containers om alle componenten van een applicatie in onder te brengen, inclusief management interfaces, bestanden, codes en bibliotheken. Cybercriminelen staan erom bekend dat zij kwetsbaarheden in containers uitbuiten en misbruik maken van onjuist geconfigureerde containers voor het verspreiden van malware. Dit was ook het geval bij een incident in februari 2018, toen aanvallers misbruik maakten van de gecompromitteerde Kubernetes-infrastructuur van een fabrikant van elektrische auto’s. De aanvallers gebruikten de aangetaste containers voor het uitvoeren van cryptocurrency mining. Daarnaast zijn er ook aanvallers die deze platforms belaagden door misbruik te maken van open API’s en niet-geverifieerde management interfaces.
2. Gebruik van malafide Docker images
Docker is een ander voorbeeld van een alomtegenwoordig hulpmiddel dat developers gebruiken voor het bouwen, uitvoeren en distribueren van containers. Het bouwen van containers kost vaak tijd en middelen, waardoor sommige Docker-gebruikers hun toevlucht nemen tot voorgebouwde images. Het AT&T-rapport merkt op dat er problemen ontstaan wanneer gebruikers onbedoeld images downloaden met een cryptocurrency-miner. De illegale mining-service is moeilijk te ontdekken en is op de achtergrond werkzaam zonder dat de gebruiker dat doorheeft of daar toestemming voor geeft.
3. Diefstal van API-sleutels
Het stelen van API-sleutels is een welbekende methode bij een gecompromitteerde cloud-infrastructuur. Er komt vaak niet meer bij kijken dan het simpelweg scannen op geplaatste broncodes in services zoals GitHub voor het verkrijgen van toegang tot API-sleutels. Met deze gevonden sleutels kunnen cybercriminelen verschillende malafide acties uitvoeren: van het kopen en verkopen van valuta via trading bots tot het gebruiken van gehackte accounts voor mining-activiteiten.
4. Uitbuiten van host control panels
Cybercriminelen proberen tegenwoordig ook administratieve toegang te verkrijgen tot control panels of web hosting-technologieën voor het implementeren van malware, waaronder ook cryptocurrency mining-malware. Hoewel uitbuiting van kwetsbaarheden een manier is om binnen te komen, is deze methode ook vaak succesvol dankzij onjuiste configuratie. Een incident in oktober 2018, bijvoorbeeld, was het gevolg van aanvallers die misbruik maakten van blootgestelde Docker API-poorten. Dit bood hen de mogelijkheid om een Monero-miner te implementeren in geïnfecteerde machines.
Basis best practices voor elke organisatie
Een groot deel van deze aanvallen kan voorkomen worden als individuen en organisaties security by design prioriteit geven. Dit houdt onder andere in dat de volgende basis best practices zorgvuldig worden geïmplementeerd:
- Voorkom diefstal van API-sleutels door gebruikers erop attent te maken nooit hun toegangssleutels publiekelijk te maken.
- Configureer cloud-services altijd zorgvuldig om potentiële exploitatie te voorkomen. Zelfs zoiets voor de hand liggend als het veranderen van standaard wachtwoorden voor control panels, kan een groot deel van de aanvallen voorkomen.
- Implementeer geïntegreerde security features die veel container-technologieën aanbieden.
Organisaties moeten ook overwegen om images en looptijd automatisch te scannen. Dit vergroot het inzicht in de processen van containers. Applicatie-control en integriteitsmonitoring helpen bij het identificeren van verdachte activiteiten in systemen van de organisatie.
Deep Security Smart Check
Trend Micro helpt DevOps-teams bij het veilig bouwen, snel distribueren en overal uitrollen. De Hybrid Cloud Security-oplossing van Trend Micro biedt krachtige, gestroomlijnde en geautomatiseerde security in de DevOps-pijplijn van organisaties. Het levert meervoudige XGen-beveiligingstechnieken tegen aanvallen voor het beschermen van de looptijd van fysieke, virtuele en cloud workloads. Het biedt ook extra bescherming voor containers via de Deep Security-oplossing en Deep Security Smart Check. Deze smart check scant Docker container images op malware en kwetsbaarheden met elke mogelijke interval in de ontwikkelpijplijn om zo aanvallen te voorkomen.
Probeer het gratis!
Trend Micro Deep Security Smart Check is 30 dagen gratis te proberen. Kijk hier voor de gratis trial en meer informatie over het scannen van images die zijn geoptimaliseerd voor DevOps-omgevingen.