Meine Bedenken bezüglich Botnets: Identitätsdiebstähle in der Cloud öffnen eine neue Tür.

Botnets: Ihr vergessenes Eingangstor zum Identitätsdiebstahl in der Cloud

Hallo zusammen, Pat Reeves hier, zurück auf botsec.net. Heute möchte ich über etwas sprechen, das mir nachts Sorgen bereitet, nicht weil es neu ist, sondern weil es sich so entwickelt, auf eine Weise, für die die meisten Organisationen nicht ausreichend vorbereitet sind: Botnets, die für den Identitätsdiebstahl in der Cloud gerüstet sind. Wir alle kennen Botnets für DDoS, Spam und das Mining von Kryptowährungen. Aber die neue Grenze? Die Sammlung von Identifikationsdaten, Session-Tokens und sogar das Umgehen von MFA, um auf Ihre Cloud-Infrastruktur zuzugreifen. Und es ist schockierend effektiv.

Letzten Monat habe ich mit einem mittelständischen SaaS-Unternehmen gesprochen – nennen wir sie “Skyline Solutions”. Sie hatten alle üblichen Funktionen: WAF, Endgerätedetektion, sogar ein ziemlich anständiges SIEM. Aber sie wurden getroffen. Nicht durch einen direkten Verstoß gegen ihre Produktionsserver, sondern durch eine Reihe kompromittierter Entwicklerkonten, die schließlich zu einem seitlichen Zugriff auf ihre Haupt-AWS Umgebung führten. Der ursprüngliche Verstoß? Ein raffiniertes Botnet für Credential Stuffing, das es geschafft hat, schwache Passwörter auf einem Dutzend Entwicklerkonten zu knacken, kombiniert mit etwas cleverem Social Engineering, um MFA-Codes von einigen von ihnen zu erhalten.

Es geht nicht mehr nur um gestohlene Passwörter. Es geht um eine raffinierte Automatisierung, die in der Lage ist, menschliches Verhalten zu imitieren, traditionelle Sicherheitskontrollen zu umgehen und langsam, methodisch, Ihre Cloud-Ressourcen zu leeren oder Ihre Daten zu exfiltrieren. Es ist ein leiser Killer, und er zielt auf Ihre Cloud-Konten ab.

Die Evolution der Botnets: Von DDoS zu Entwicklertäuschungen

Jahrelang, wenn wir an Botnets dachten, stellten wir uns Armeen kompromittierter IoT-Geräte oder infizierter PCs vor, die ein Ziel mit Verkehr angriffen. Erinnern Sie sich an Mirai? Gute alte Zeiten. Aber die Bedrohungslandschaft entwickelt sich weiter. Angreifer folgen dem Geld, und das Geld befindet sich zunehmend in Cloud-Ressourcen und den Daten, die sie enthalten. Der Zugang zu einem AWS-Root-Konto, einem Google-Cloud-Projekt oder einem Azure-Abonnement ist eine wahre Goldmine. Es ermöglicht Rechenleistung für Cryptojacking, Speicherung für illegale Inhalte oder direkten Zugriff auf sensible Kundendaten.

Was wir jetzt beobachten, ist eine Verfeinerung der Fähigkeiten von Botnets. Sie dringen nicht mehr einfach ein:

• Massives Credential Stuffing: Große Mengen zuvor kompromittierter Credentials nehmen und sie auf Hunderte von verschiedenen Cloud-Diensten und SaaS-Plattformen ausprobieren.
• Session Hijacking: Gültige Cookies oder Session-Tokens von kompromittierten Benutzer-Maschinen stehlen und sie verwenden, um die Anmeldung völlig zu umgehen.
• Exploits zum Umgehen von MFA: Mithilfe von Social Engineering, SIM-Swapping oder sogar raffinierten Phishing-Kits, die die MFA-Aufforderungen in Echtzeit abfragen.
• Automatisierte Erkennung: Einmal drinnen, können die Bots automatisch Cloud-Ressourcen auflisten, Fehlkonfigurationen identifizieren und Wege zur Erhöhung der Berechtigungen finden.

Der Vorfall bei Skyline Solutions war ein perfekter Sturm all dessen. Das Credential Stuffing öffnete die ursprüngliche Tür. Dann fielen leider einige Entwickler auf eine sehr überzeugende Phishing-E-Mail herein, die eine gefälschte Okta-Anmeldeseite präsentierte, komplett mit einer Echtzeit-MFA-Aufforderung, die ihren Code direkt an die Angreifer umleitete. Einmal drinnen begannen die Bots, ihre AWS-API nach Benutzer-Richtlinien, S3-Bucket-Berechtigungen und EC2-Instanzen zu befragen. Es war eine langsame und methodische Übernahme.

Ihre Cloud-Konten: Das neue hochpreisige Ziel

Denken Sie darüber nach. Ihre Entwickler, Ihr Betriebsteam, Ihre Data Scientists – alle haben Zugang zu Ihrer Cloud-Umgebung. Jedes dieser Konten ist ein potenzieller Einstiegspunkt. Und mal ehrlich, wie viele von ihnen verwenden einzigartige und starke Passwörter sowie jederzeit aktives MFA für jeden Dienst? Nicht genug, das wette ich.

Das Problem wird durch die Anzahl der Dienste und Konten verstärkt, die die Menschen verwalten. Wir haben AWS, Azure, GCP, GitHub, GitLab, Jira, Slack, Salesforce, HubSpot und Hunderte von anderen SaaS-Tools. Jedes stellt eine potenzielle Schwäche dar. Ein Botnet interessiert sich nicht dafür, ob es sich um Ihren Haupt-Cloud-Anbieter oder ein Nischen-Analysetool handelt; wenn es Zugang erlangen kann, wird es versuchen, sich darauf zu bewegen.

Praktische Verteidigungsstrategien gegen Cloud-Identitätsdiebstahl durch Botnetze

Was können wir also tun? Es geht nicht darum, die Hände zu heben und auf das Beste zu hoffen. Wir benötigen einen mehrschichtigen Ansatz, der die einzigartigen Weise berücksichtigt, wie diese Botnets agieren.

1. Stärken Sie Ihre Cloud-Identitäten (Das Offensichtliche, aber oft Vernachlässigte)

Das ist der Ausgangspunkt. Wenn Ihre Identitäten schwach sind, ist alles andere nur ein Pflaster.

• Starke und einzigartige Passwörter: Das ist nicht verhandelbar. Verwenden Sie einen Passwort-Manager. Setzen Sie Anforderungen an Komplexität und Länge durch.
• Allgegenwärtiges MFA: Ernsthaft, für jeden Cloud-Dienst, jedes SaaS-Tool und sogar Ihre internen Unternehmensanwendungen. Streben Sie nach Hardware-Token (YubiKey etc.) oder FIDO2, wenn möglich, da diese viel widerstandsfähiger gegen Phishing sind als SMS oder Authentifizierungs-Apps.
• Regelmäßige Credential-Audits: Nutzen Sie Tools, um kompromittierte Credentials zu überprüfen. Viele Identitätsanbieter und Sicherheitsdienste bieten dies mittlerweile an.

Hier ist ein einfaches (vereinfachtes) Python-Skript, das die AWS CLI verwendet und das ein Botnet verwenden könnte, um die S3-Buckets aufzulisten, sobald es Zugang hat. Das sind die Arten von Dingen, nach denen sie suchen:

import boto3

def enumerate_s3_buckets():
 try:
 s3 = boto3.client('s3')
 response = s3.list_buckets()
 print("Gefundene S3-Buckets:")
 for bucket in response['Buckets']:
 print(f"- {bucket['Name']}")
 # Ein echtes Botnet würde dann die Bucket-Richtlinien, Objekte usw. überprüfen.
 except Exception as e:
 print(f"Fehler beim Auflisten der S3-Buckets: {e}")

if __name__ == "__main__":
 enumerate_s3_buckets()

Dieses Skript ist harmlos, aber stellen Sie sich vor, es wird auf einer kompromittierten Entwicklungsmaschine ausgeführt, die Informationen an einen Angreifer zurücksendet. So kartieren sie Ihre Umgebung.

2. Implementieren Sie einen soliden Bot-Schutz an der Peripherie

Sie müssen diese automatisierten Angriffe blockieren, bevor sie überhaupt Ihre Anmeldeseiten erreichen. Traditionelle WAFs sind gut, aber sie haben oft Schwierigkeiten mit raffinierten, langsamen und diskreten Botnets, die menschliches Verhalten nachahmen.

• Spezialisierte Bot-Management-Lösungen: Investieren Sie in Dienste, die speziell dafür entwickelt wurden, raffinierte Bots zu erkennen und abzumildern. Sie verwenden Verhaltensanalyse, Geräte-Fingerprinting und Bedrohungsintelligenz, um legitime Benutzer von bösartiger Automatisierung zu unterscheiden.
• Alternativen zu CAPTCHA & reCAPTCHA: Auch wenn sie nicht perfekt sind, fügen sie eine Schicht der Reibung hinzu. Aber denken Sie daran, raffinierte Bots können sogar einige CAPTCHAs lösen. Ziehen Sie unsichtbare CAPTCHAs in Betracht, die nur bei verdächtigen Aktivitäten herausgefordert werden.
• Ratenbegrenzung: Setzen Sie eine aggressive Ratenbegrenzung für Anmeldeversuche, API-Aufrufe und Registrierungsseiten um. Blockieren Sie nicht nur eine IP-Adresse; ziehen Sie eine sitzungsbasierte oder sogar benutzeragentenbasierte Ratenbegrenzung in Betracht.

Zum Beispiel könnten Sie in einer Nginx-Konfiguration etwas wie das hier hinzufügen für eine grundlegende Ratenbegrenzung für einen Endpunkt der Anmeldung:

http {
 # ... andere http-Konfigurationen ...
 limit_req_zone $binary_remote_addr zone=login_limit:10m rate=5r/s; # 5 Anfragen pro Sekunde

 server {
 # ... andere Serverkonfigurationen ...
 location /login {
 limit_req zone=login_limit burst=10 nodelay;
 # ... proxy_pass oder andere Anmeldeverwaltung ...
 }
 }
}

Dies ist ein Ausgangspunkt, aber eine spezialisierte Bot-Management-Lösung wird viel granulareren Kontrolle und Intelligenz bieten.

3. Überwachen und Warnen Sie bei verdächtigen Cloud-Aktivitäten

Selbst mit den besten Präventivmaßnahmen werden einige Angriffe durchkommen. Ihre Erkennungs- und Reaktionsfähigkeiten sind entscheidend.

• Zentralisierte Journalisierung : Sammeln Sie alle Ihre Cloud-Protokolle (CloudTrail, Azure-Aktivitätsprotokolle, GCP-Auditprotokolle, WAF-Protokolle, Protokolle von Identitätsanbietern) in einem SIEM oder einer dedizierten Protokollierungsplattform.
• Verhaltensanalyse : Suchen Sie nach Anomalien. Macht ein Entwicklerkonto plötzlich API-Aufrufe von einem neuen geografischen Standort? Greifen sie auf Ressourcen zu, auf die sie zuvor nie Zugriff hatten? Generiert ein Dienstkonto ungewöhnlich viele Fehler?
• Automatisierte Warnungen : Richten Sie Warnungen für Aktivitäten mit hohem Risiko ein:
  • Fehlgeschlagene Anmeldeversuche (insbesondere für privilegierte Konten).
  • Änderungen an IAM-Richtlinien oder -Rollen.
  • Erstellung neuer Benutzer oder Zugangsschlüssel.
  • Ungewöhnliche Datenübertragungsvolumina.
  • Entfernen von Protokollen oder Sicherheitskonfigurationen.

Der Schlüssel hier ist, Ihr Referenzniveau zu verstehen. Was ist normal für Ihre Umgebung? Alles, was von diesem Niveau abweicht, insbesondere in Bezug auf privilegierte Konten oder sensible Daten, sollte eine Untersuchung auslösen.

Praktiken für Heute

Okay, Sie haben meinen Monolog gelesen. Was können Sie wirklich tun, wenn Sie mit dem Lesen fertig sind und zu Ihrer Arbeit zurückkehren?

1. Auditieren Sie Ihre Cloud-Identitäten : Ernsthaft, jetzt. Identifizieren Sie alle menschlichen und Dienstkonten, die Zugang zu Ihren Cloud-Umgebungen haben. Wenden Sie MFA überall an. Überprüfen Sie auf schwache oder wiederverwendete Passwörter. Erneuern Sie regelmäßig die Zugangsschlüssel für Dienstkonten.
2. Nehmen Sie Bot-Management ernst : Wenn Sie öffentliche Anwendungen oder APIs betreiben, die zu einem Cloud-Zugang führen können (auch indirekt), benötigen Sie mehr als nur eine grundlegende WAF. Informieren Sie sich über spezialisierte Dienste zur Bekämpfung von Bots.
3. Überprüfen Sie Ihre Cloud-Überwachung und -Warnungen : Sehen Sie wirklich, was in Ihrer Cloud passiert? Sind Ihre Warnungen so eingestellt, dass sie ungewöhnliche Aktivitäten im Zusammenhang mit Identitäts- und Zugriffsmanagement erkennen? Wenn nicht, machen Sie dies zu einer Priorität. Beginnen Sie mit kritischen Konten und sensiblen Datenspeichern.
4. Schulen Sie Ihre Teams : Phishing ist nach wie vor ein großes Risiko. Regelmäßige und ansprechende Schulungen zur Sensibilisierung für Sicherheit, die aktuelle Bedrohungen wie MFA-Umgehungsphishing abdecken, sind unerlässlich.

Die Tage, an denen man dachte, Botnets seien nur dafür da, Verkehr auf Ihre Website zu lenken, sind vorbei. Sie haben sich weiterentwickelt und sind nun eine Hauptwaffe für den anspruchsvollen Identitätsdiebstahl in der Cloud. Lassen Sie nicht zu, dass Ihre Cloud zu ihrem Spielplatz wird. Bleiben Sie wachsam, bleiben Sie sicher.

Pat Reeves, Ende.

🕒 Published: March 28, 2026