Meine Bedenken bezüglich des Botnets: Die Identitätsdiebstähle in der Cloud, das neue Einfallstor

Botnets: Ihr vergessenes Eingangstor zum Identitätsdiebstahl in der Cloud

Hallo zusammen, hier ist Pat Reeves, zurück bei botsec.net. Heute möchte ich über etwas sprechen, das mir nachts den Schlaf raubt, nicht weil es neu ist, sondern weil es sich auf eine Weise entwickelt, auf die die meisten Organisationen nicht ausreichend vorbereitet sind: die Botnets, die für Identitätsdiebstahl in der Cloud arbeiten. Wir alle kennen Botnets für DDoS, Spam und Krypto-Mining. Aber die neue Front? Das Sammeln von Anmeldeinformationen, Sitzungstokens und sogar das Umgehen von MFA, um auf Ihre Cloud-Infrastruktur zuzugreifen. Und es ist furchtbar effektiv.

Letzten Monat konsultierte ich ein mittelgroßes SaaS-Unternehmen – nennen wir sie “Skyline Solutions”. Sie hatten alle üblichen Glocken und Pfeifen: WAF, Endpunkterkennung, sogar ein ziemlich anständiges SIEM. Aber sie wurden angegriffen. Nicht durch einen direkten Verstoß gegen ihre Produktionsserver, sondern durch eine Reihe kompromittierter Entwicklerkonten, die schließlich zu seitlichen Bewegungen in ihrer Haupt-Cloud-Umgebung AWS führten. Die anfängliche Kompromittierung? Ein ausgeklügeltes Botnet für Credential Stuffing, das es geschafft hat, schwache Passwörter auf einem Dutzend Entwicklerkonten zu knacken, kombiniert mit ein wenig schlauer Sozialtechnik, um MFA-Codes von einigen von ihnen zu erhalten.

Es geht nicht mehr nur um gestohlene Passwörter. Es ist eine Frage der ausgeklügelten Automatisierung, die menschliches Verhalten nachahmen, traditionelle Sicherheitskontrollen umgehen und langsam, methodisch, Ihre Cloud-Ressourcen erschöpfen oder Ihre Daten exfiltrieren kann. Es ist ein stiller Killer, und es zielt auf Ihre Cloud-Konten ab.

Die Evolution von Botnets: Von DDoS zu Hijacking von Entwicklerkonten

Seit Jahren, wenn wir an Botnets denken, stellen wir uns Armeen von kompromittierten IoT-Geräten oder infizierten PCs vor, die ein Ziel mit Traffic bombardieren. Erinnern Sie sich an Mirai? Gute Erinnerungen. Aber der Bedrohungsraum entwickelt sich weiter. Angreifer folgen dem Geld, und das Geld befindet sich zunehmend in Cloud-Ressourcen und den darin enthaltenen Daten. Der Zugriff auf ein AWS-Root-Konto, ein Google Cloud-Projekt oder ein Azure-Abonnement ist eine Goldmine. Dies ermöglicht Rechenressourcen für Krypto-Jacking, Speicher für illegale Inhalte oder direkten Zugriff auf sensible Kundendaten.

Was wir jetzt sehen, ist eine Verfeinerung der Fähigkeiten von Botnets. Sie brechen nicht mehr nur die Türen auf. Sie:

• Credential Stuffing in großem Maßstab: Nehmen Sie riesige Dumps zuvor kompromittierter Anmeldeinformationen und versuchen Sie es auf Hunderte von verschiedenen Cloud-Diensten und SaaS-Plattformen.
• Sitzungshijacking: Stehlen Sie gültige Cookies oder Sitzungstokens von kompromittierten Benutzermaschinen und verwenden Sie diese, um die Anmeldung vollständig zu umgehen.
• Exploits zum Umgehen von MFA: Verwenden Sie Sozialtechnik, SIM-Swapping oder sogar ausgeklügelte Phishing-Kits, die MFA-Herausforderungen in Echtzeit proxieren.
• Automatisierte Erkennung: Einmal drinnen können die Bots automatisch Cloud-Ressourcen auflisten, Fehlkonfigurationen identifizieren und Wege zur Eskalation von Rechten finden.

Der Vorfall bei Skyline Solutions war ein perfekter Sturm um all dies. Das Credential Stuffing öffnete die erste Tür. Dann sind leider einige Entwickler einem sehr überzeugenden Phishing-E-Mail erlegen, das eine gefälschte Okta-Anmeldeseite zeigte, mit einem Echtzeit-MFA-Prompt, der ihren Code direkt an die Angreifer weiterleitete. Einmal drinnen begannen die Bots, ihre AWS-API nach Benutzerrichtlinien, S3-Bucket-Berechtigungen und EC2-Instanzen abzufragen. Es war eine langsame und methodische Übernahme.

Ihre Cloud-Konten: das neue hochpreisige Ziel

Denken Sie darüber nach. Ihre Entwickler, Ihr Ops-Team, Ihre Data Scientists – sie haben alle Zugriff auf Ihre Cloud-Umgebung. Jedes dieser Konten ist ein potenzielles Eingangstor. Und mal ehrlich, wie viele von ihnen verwenden einzigartige und starke Passwörter und haben immer aktivierte MFA für jeden Dienst? Ich wette, nicht genug.

Das Problem wird durch die Anzahl der Dienste und Konten, die die Menschen verwalten, verschärft. Wir haben AWS, Azure, GCP, GitHub, GitLab, Jira, Slack, Salesforce, HubSpot und Hunderte von anderen SaaS-Tools. Jeder stellt ein potenzielles schwaches Glied dar. Ein Botnet kümmert sich nicht darum, ob es sich um Ihren Haupt-Cloud-Anbieter oder ein Nischenauswertung-Tool handelt; wenn es Zugriff hat, wird es versuchen, sich umzudrehen.

Praktische Verteidigungsstrategien gegen botgesteuerten Identitätsdiebstahl in der Cloud

Also, was können wir tun? Es geht nicht darum, die Hände in die Luft zu werfen und das Beste zu hoffen. Wir benötigen einen mehrschichtigen Ansatz, der sich mit den einzigartigen Arten auseinandersetzt, wie diese Botnets operieren.

1. Stärken Sie Ihre Cloud-Identitäten (offensichtlich, aber oft vernachlässigt)

Das ist der Ausgangspunkt. Wenn Ihre Identitäten schwach sind, ist alles andere nur ein Pflaster.

• Starke und einzigartige Passwörter: Das ist nicht verhandelbar. Verwenden Sie einen Passwort-Manager. Setzen Sie Anforderungen an Komplexität und Länge durch.
• Allgegenwärtige MFA: Ernsthaft, für jeden Cloud-Dienst, jedes SaaS-Tool und sogar Ihre internen Unternehmensanwendungen. Drängen Sie auf Hardware-Tokens (YubiKey usw.) oder FIDO2, wo immer es möglich ist, da sie viel resistenter gegen Phishing sind als SMS oder Authentifizierungs-Apps.
• Regelmäßige Audits der Anmeldeinformationen: Nutzen Sie Tools, um kompromittierte Anmeldeinformationen zu überprüfen. Viele Identitätsanbieter und Sicherheitsdienste bieten dies jetzt an.

Hier ist ein einfaches (vereinfachtes) Python-Skript, das die AWS CLI verwendet und das ein Botnet verwenden könnte, um die S3-Buckets aufzulisten, sobald es Zugriff hat. Das ist die Art von Dingen, nach denen sie suchen:

import boto3

def enumerate_s3_buckets():
 try:
 s3 = boto3.client('s3')
 response = s3.list_buckets()
 print("Gefundene S3-Buckets:")
 for bucket in response['Buckets']:
 print(f"- {bucket['Name']}")
 # Ein echtes Botnet würde dann die Bucket-Richtlinien, Objekte usw. überprüfen.
 except Exception as e:
 print(f"Fehler beim Auflisten der S3-Buckets: {e}")

if __name__ == "__main__":
 enumerate_s3_buckets()

Dieses Skript ist harmlos, aber stellen Sie sich vor, es würde auf einer kompromittierten Entwicklungsmaschine ausgeführt und Informationen an einen Angreifer übermitteln. So kartieren sie Ihre Umgebung.

2. Richten Sie einen soliden Bot-Schutz an der Grenze ein

Sie müssen diese automatisierten Angriffe blockieren, bevor sie überhaupt Ihre Anmeldeseiten erreichen. Traditionelle WAFs sind gut, haben aber oft Schwierigkeiten mit ausgeklügelten, langsamen und schleichenden Botnets, die menschliches Verhalten nachahmen.

• Spezifische Bot-Management-Lösungen: Investieren Sie in Dienste, die speziell entwickelt wurden, um ausgeklügelte Bots zu erkennen und zu mindern. Diese verwenden Verhaltensanalysen, Geräteeingangsverifizierung und Bedrohungsintelligenz, um legitime Benutzer von böswilligen Automatisierungen zu unterscheiden.
• Alternativen zu CAPTCHA & reCAPTCHA: Auch wenn sie nicht perfekt sind, fügen sie eine zusätzliche Reibung hinzu. Aber denken Sie daran, dass ausgeklügelte Bots sogar einige CAPTCHAs lösen können. Erwägen Sie unsichtbare CAPTCHAs, die nur verdächtige Aktivitäten herausfordern.
• Ratenbegrenzungen: Implementieren Sie aggressive Ratenbegrenzungen für Anmeldeversuche, API-Aufrufe und Registrierungsseiten. Blockieren Sie nicht nur eine IP-Adresse; ziehen Sie sessionbasierte oder sogar benutzeragentenbasierte Ratenbegrenzungen in Betracht.

Zum Beispiel könnten Sie in einer Nginx-Konfiguration etwas wie dies hinzufügen, um eine grundlegende Ratenbegrenzung für einen Anmeldeschnittstelle einzurichten:

http {
 # ... andere http-Konfigurationen ...
 limit_req_zone $binary_remote_addr zone=login_limit:10m rate=5r/s; # 5 Anfragen pro Sekunde

 server {
 # ... andere Serverkonfigurationen ...
 location /login {
 limit_req zone=login_limit burst=10 nodelay;
 # ... proxy_pass oder andere Verbindungshandhabung ...
 }
 }
}

Das ist ein Ausgangspunkt, aber eine spezialisierte Bot-Management-Lösung bietet viel granulareren Kontrolle und Intelligenz.

3. Überwachen und alarmieren Sie über verdächtige Cloud-Aktivitäten

Sogar mit den besten präventiven Maßnahmen werden einige Angriffe durchkommen. Ihre Erkennungs- und Reaktionsfähigkeiten sind entscheidend.

• Zentralisierte Protokollierung: Aggregieren Sie alle Ihre Cloud-Logs (CloudTrail, Azure-Aktivitätsprotokolle, GCP-Auditprotokolle, WAF-Protokolle, Identitätsanbieter-Protokolle) in einem SIEM oder einer speziellen Protokollierungsplattform.
• Verhaltensanalyse: Suchen Sie nach Anomalien. Macht ein Entwicklerkonto plötzlich API-Aufrufe von einem neuen geografischen Standort? Greifen sie auf Ressourcen zu, die sie zuvor nie abgerufen haben? Generiert ein Dienstkonto eine ungewöhnliche Anzahl von Fehlern?
• Automatische Alerts: Konfigurieren Sie Warnungen für risikobehaftete Aktivitäten:
  • Fehlgeschlagene Anmeldeversuche (insbesondere für privilegierte Konten).
  • Änderungen an IAM-Richtlinien oder -Rollen.
  • Erstellung neuer Benutzer oder Zugangsschlüssel.
  • Ungewöhnliche Datenübertragungsvolumina.
  • Löschen von Protokollen oder Sicherheitskonfigurationen.

Der Schlüssel hier ist, Ihre Referenzbasis zu verstehen. Was ist für Ihre Umgebung normal? Alles, was außerhalb dieser Referenz liegt, insbesondere in Bezug auf privilegierte Konten oder sensible Daten, sollte eine Untersuchung auslösen.

Praktische Schlussfolgerung für heute

In Ordnung, Sie haben meine Tirade gelesen. Was können Sie tatsächlich tun, wenn Sie mit dieser Lektüre fertig sind und zu Ihrer täglichen Arbeit zurückkehren?

1. Überprüfen Sie Ihre Cloud-Identitäten: Ernsthaft, jetzt sofort. Identifizieren Sie alle menschlichen und Dienstkonten mit Zugang zu Ihren Cloud-Umgebungen. Wenden Sie MFA auf allen Konten an. Überprüfen Sie auf schwache oder wiederverwendete Passwörter. Rotieren Sie regelmäßig die Zugangsschlüssel für Dienstkonten.
2. Die Verwaltung von Bots ernst nehmen: Wenn Sie öffentliche Anwendungen oder APIs betreiben, die zu Cloud-Zugängen führen können (auch indirekt), benötigen Sie mehr als nur ein einfaches WAF. Erwägen Sie spezialisierte Dienste zur Minderung von Bots.
3. Überprüfen Sie Ihre Cloud-Überwachung und -Warnungen: Sehen Sie wirklich, was in Ihrer Cloud passiert? Sind Ihre Warnungen so konfiguriert, dass sie ungewöhnliche Aktivitäten im Zusammenhang mit Identitäts- und Zugriffsmanagement erkennen? Wenn nicht, priorisieren Sie dies. Beginnen Sie mit kritischen Konten und sensiblen Datenspeichern.
4. Bildung Ihrer Teams: Phishing bleibt ein massives Bedrohungsszenario. Regelmäßige und ansprechende Schulungen zur Sicherheitsbewusstseinsbildung, die aktuelle Bedrohungen wie MFA-Bypass-Phishing abdecken, sind unerlässlich.

Die Zeiten, in denen man dachte, Botnets würden nur genutzt, um Ihre Website mit Anfragen zu überfluten, sind vorbei. Sie haben sich weiterentwickelt und sind jetzt eine Hauptwaffe für den raffinieren Identitätsdiebstahl in der Cloud. Lassen Sie Ihre Cloud nicht zu ihrem Spielplatz werden. Bleiben Sie wachsam, bleiben Sie sicher.

Pat Reeves, auf Wiedersehen.

🕒 Published: March 28, 2026