Denial Wallet Attack

dow

Denial-of-Wallet-Angriffe: Wie man sich vor kostspieligen Exploits schützt, die auf serverlose Setups abzielen

Hacking-Techniken tauchen tief in die Cyber-Kriminalität einAngreifer versuchen, die Cloud-Computing-Ressourcen ihrer Opfer zu erschöpfen - und ihre Bankkonten auszunehmen.

In den letzten Jahren ist die Popularität des Serverless Computing explodiert, da Unternehmen weiterhin die Vorteile dieses leicht skalierbaren, cloud-basierten Infrastrukturmodells erkennen.

Tatsächlich schätzt eine Studie, dass die Zahl der Kunden ohne Server bis 2021 die Zahl von sieben Milliarden überschreiten wird.

Mit diesem Trend geht jedoch das zusätzliche Risiko von Cyber-Angriffen einher, die speziell auf die Cloud-basierte Infrastruktur abzielen.

Zu dieser wachsenden Liste von Exploits zählt auch der Denial-of-Wallet-Angriff - eine weniger bekannte, aber leicht auszuführende Technik, die den Opfern schweren finanziellen Schaden zufügenkann.

Was ist ein Denial-of-Wallet-Angriff?

Denial-of-Wallet (DoW)-Angriffe ähneln den traditionellen Denial-of-Service (DoS)-Angriffen in dem Sinne, dass beide mit der Absicht durchgeführt werden, Störungen zu verursachen.

Während DoS-Angriffe jedoch darauf abzielen, einen gezielten Dienst offline zu bringen, versucht das DoW, dem Opfer finanziellen Schaden zuzufügen.

Während herkömmliche webbasierte Distributed-Denial-of-Service (DDoS)-Angriffe den Server mit Datenverkehr überfluten, bis er abstürzt, zielen DoW-Angriffe zudem speziell auf serverlose Benutzerab.

Im Gegensatz zu seiner Bezeichnung "serverless" bedeutet "serverless" nicht, dass der Benutzer nichtmit einem Server verbunden ist, sondern dass er für den Zugang zu einem Server bezahlt, der von einer dritten Partei unterhalten wird.

Denial-of-Wallet-Angriffe machen sich die Tatsache zunutze, dass Anbieter ohne Server die Benutzer nach der Menge der Ressourcen berechnen, die von einer Anwendung verbraucht werden, d.h. wennein Angreifer eine Website mit Datenverkehr überschwemmt, könnte der Website-Besitzer eine hoheRechnung erhalten.

Ein Angreifer profitiert nicht persönlich von DoW-Angriffen auf die gleiche Weise wie durch andere Exploits - außer natürlich, wenn er sein Ziel in finanzielle Bedrängnis bringt.

"Wenn Sie Server in einem Rechenzentrum haben und ein Angreifer Ihnen nur Schaden zufügen will, kann er Sie mit DDoS auslöschen, und Ihre Website fällt aus", erklärt Scott Piper, AWS-Sicherheitsberater bei Summit Route.

"Wenn Sie in der Cloud sind, kann ein Angreifer Dinge tun, so dass Ihre Site vielleicht online bleibt, aber Sie werden bankrott macht".

Denial-of-Wallet-Angriffe überschwemmen die Cloud-Infrastruktur mit Datenverkehr, mit enormen Kosten für den Benutzer Make it rain: Denial-of-Wallet-Angriffe können für Benutzer ohne Server enorme finanzielle Verluste verursachen.

Was ist Serverless Computing?

Serverloses Computing ist, wenn Backend-Dienste auf einer "used-by"-Basis bereitgestellt werden. Das Unternehmen bezahlt einen Anbieter ohne Server für die Bereitstellung der Infrastruktur und dieWartung des Servers.

Beliebte Serverlos-Marken sind Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP), die zusammen viele Millionen Benutzer zählen.

Serverlose Profis

Die Vorteile eines serverlosen Modus liegen auf der Hand: Kleinere Organisationen können ihre Dienste ohne Investitionen in Hardware in Betrieb nehmen.

Ein weiterer positiver Aspekt ist, dass der Dienst auf einer Pay-as-you-go-Basis bereitgestellt wird unddem Benutzer keine Bandbreite oder Ressourcen in Rechnung gestellt werden, die er nicht nutzt."Serverless Computing ist eine zustandslose Architektur für zustandslose Anwendungen, sagte Erica Windish, Gründerin des Serverless-Anbieters IOpipe, gegenüber The Daily Swig. "Ich denke, eine solche Architektur hat Sicherheitsvorteile, da sie Unveränderlichkeit erzwingt.

Da serverlose Umgebungen ständig aktualisiert werden, ist es für Malware oder ruchlose Anwendungen schwierig, lange in der Infrastruktur zu schlummern.

Serverlose Nachteile

Der Einsatz von Serverless Computing ist jedoch mit Risiken verbunden. Windish stellt beispielsweise fest, dass es manchmal die Möglichkeit behindert, eine eingehende Infrastrukturanalyse durchzuführen.

"Serverlos bringt auch einige Herausforderungen in Bezug auf die Sicherheitsbeobachtbarkeit mit sich, z.B. wenn alle fünf Minuten bis acht Stunden ein kompromittierter Container zerstört wird, wie führt man dann eine Obduktion durch? Es gibt keine Werkzeuge, um diese Umgebungen für die Analyse einzufrieren oder zu speichern", sagte sie.

Das serverlose Modell führt auch dazu, dass sich der Benutzer auf die Sicherheitspraktiken des Herstellers verlässt. Wenn der Server unsicher ist, ist Denial of Wallet nicht der einzige Cyber-Angriff, über den sich Administratoren Gedanken machen sollten.

Wie können Sie einen Denial-of-Wallet-Angriff erkennen?

Ein Opfer wird wahrscheinlich bemerken, dass etwas im Busch ist, wenn seine Rechnung höher ist alserwartet. Es gibt jedoch Möglichkeiten, wie Sie einen Denial-of-Wallet-Angriff stoppen können, bevorer zu kostspielig wird.

In erster Linie schlägt man die Einrichtung eines Rechnungsalarms vor. Dadurch wird der Benutzer benachrichtigt, wenn er ein vordefiniertes Ausgabelimit überschreitet.

Benutzer sollten auch Limits einsetzen, um jeglichen Code abzuschwächen, insbesondere Leitungen, die ein Endlosschleifen-Szenario auslösen können.

"Viele Leute haben Geschichten über Endlosschleifen in AWS benannt, die dazu führten, dass immer wieder Ressourcen erzeugt wurden oder ein Lambda ausgelöst wurde, das sich selbst wieder auslöste", sagte Piper.

"Dies ist ein Problem, das so häufig auftritt, dass in der Dokumentation der Cloudwatch-Ereignisregel sogar eine Warnung davor steht".

Er fügte hinzu: "Ohne diese Begrenzungen könnte ein Angreifer versuchen, eine Million EC2 ( AWS Elastic Compute Cloud ) auszulösen, aber aufgrund dieser Begrenzungen könnte der Angreifer nur einpaar Dutzend EC2 auslösen.

Denial-of-Wallet-Angriffe sind eine wachsende Bedrohung für die Sicherheit von Cloud Computing. Serverlose Benutzer sollten Grenzen setzen, um Rechnungswarnungen auszulösen.

Woher kommt der Begriff?

Der Ursprung des DoW-Angriffs kann bis ins Jahr 2008 zurückverfolgt werden, sagte Piper gegenüber The Daily Swig, als er in einem Blogbeitrag von Rational Security als "wirtschaftliche Verweigerung der Nachhaltigkeit" bezeichnet wurde.

Piper vermutet, dass der Begriff "Denial of Wallet" erstmals 2013 verwendet wurde, wobei sie auf einen Twitter-Benutzer namens @gepeto42 verwies.

Wie kann man sich vor Denial-of-Wallet-Angriffen schützen?

Es gibt keinen wirklich sicheren Schutz gegen Denial-of-Wallet-Angriffe. Stattdessen sollten serverlose Benutzer die oben genannten Grenzen einführen, um Warnmeldungen auszulösen, falls sie zum Ziel werden sollten.

Um sich gegen solche Angriffe zu "schützen", erlaubt AWS die Konfiguration von Grenzwerten für Aufrufe oder Budget. Wenn der Angreifer dieses Limit jedoch erreichen kann, kann er die Verfügbarkeit des Kontos DoS verursachen.

Es gibt keinen tatsächlichen Schutz, der nicht zu DoS führt. Der Angriff ist in der traditionellen Architektur nicht so einfach wie in der serverlosen Architektur. Daher ist das Risiko hoch.

Es sollten auch Maßnahmen ergriffen werden, um die mit einem serverlosen Konto verbundenen Anmeldeinformationen zu sichern.

Piper sagte, dass ein Angreifer, wenn er in der Lage ist, kostspielige API-Aufrufe an das AWS-Konto eines Opfers zu machen, "wahrscheinlich auch die Möglichkeit hat, alle Ihre Dateien in S3 zu löschen, alle Ihre Instanzen zu beenden und anderes Chaos zu verursachen, dass das Potenzial hat, schlimmere geschäftliche Auswirkungen zu verursachen".

Er schlug vor, dieses Szenario durch die Implementierung von Diensten mit den geringsten Privilegien, die Durchsetzung der Multi-Faktor-Authentifizierung bei allen Benutzern und die Implementierung von Richtlinien zur Dienstkontrolle abzuschwächen.

Quelle Portswigger – Übersetzt ins Deutsche

Über den Autor: Uwe Poltoranin
Datenschutzbeauftragter (DGI / bitkom) Datenschutzbeauftragter (TüV Rheinland Akademie) IT-Sicherheitsbeauftragter (TüV Rheinland Akademie)
BSI Grundschutz Praktiker (DGI), ISMS-Prüfer / leitender Prüfer nach ISO / IEC 27001 ( ISACA), IT-Risikomanager (DGI)
Projektmanagement IPMA® Level C, ITIL®Foundation Level, PRINCE2® Foundation Level, Certified Scrum Master - Scrum Product Owner
Nach oben scrollen