Wie AWS Threat Intelligence Bedrohungsakteure abschreckt

von Mark Ryland, übersetzt von Ben Freiberg

Jeden Tag erkennen und vereiteln wir in der gesamten Cloud-Infrastruktur von Amazon Web Services (AWS) erfolgreich Hunderte von Cyberangriffen, die andernfalls disruptiv und kostspielig sein könnten. Diese wichtigen, aber meist unsichtbaren Erfolge werden mit einem globalen Netzwerk von Sensoren und einer Reihe von spezialisierten Tools erzielt. Mithilfe dieser Fähigkeiten machen wir es schwieriger und teurer, Cyberangriffe auf unser Netzwerk, unsere Infrastruktur und unsere Kunden durchzuführen. Wir tragen aber auch dazu bei, das Internet als Ganzes sicherer zu machen, indem wir mit anderen verantwortlichen Anbietern zusammenarbeiten, um gegen Threat Actors (English für Bedrohungsakteure) vorzugehen, die in deren Infrastruktur operieren. Die Umsetzung unserer Erkenntnisse über globale Bedrohungen in schnelles Handeln ist nur einer der vielen Schritte, die wir im Rahmen unseres Engagements für die Sicherheit als oberste Priorität unternehmen. Obwohl dies ein nie endendes Unterfangen ist und sich unsere Fähigkeiten ständig verbessern, sind wir an einem Punkt angelangt, an dem wir glauben, dass Kunden und andere Interessengruppen davon profitieren können, wenn sie mehr darüber erfahren, was wir heute tun und wohin wir in Zukunft wollen.

Globale Threat Intelligence mithilfe der AWS Cloud

Mit der größten öffentlichen Netzwerkpräsenz aller Cloud-Anbieter bietet uns unsere Größe bei AWS einen beispiellosen Einblick in bestimmte Aktivitäten im Internet, und das in Echtzeit. Vor einigen Jahren begann AWS Principal Security Engineer Nima Sharifi Mehr, sich diese Größenordnung zunutze zu machen und nach neuartigen Ansätzen zum Sammeln von Informationen zur Abwehr von Bedrohungen zu suchen. Unsere Teams begannen mit dem Aufbau einer internen Toolsuite, die den Spitznamen MadPot erhielt und schon bald konnten die Sicherheitsforscher von Amazon erfolgreich Tausende digitaler Bedrohungen finden, untersuchen und stoppen, die Kunden schädigten könnten.

MadPot wurde entwickelt, um zwei Dinge zu erreichen: erstens Bedrohungsaktivitäten zu erkennen und zu überwachen und zweitens schädliche Aktivitäten, wann immer möglich, zu unterbinden, um AWS-Kunden und Andere zu schützen. MadPot hat sich zu einem ausgeklügelten System aus Überwachungssensoren und automatisierten Reaktionsfunktionen entwickelt. Die Sensoren beobachten täglich mehr als 100 Millionen potenzielle Bedrohungsinteraktionen und -sondierungen auf der ganzen Welt, wobei etwa 500.000 dieser beobachteten Aktivitäten so weit fortgeschritten sind, dass sie als bösartig eingestuft werden können. Diese enorme Menge an Bedrohungsdaten wird erfasst, korreliert und analysiert, um verwertbare Erkenntnisse über potenziell schädliche Aktivitäten im Internet zu gewinnen. Die Reaktionsfunktionen schützen das AWS-Netzwerk automatisch vor identifizierten Bedrohungen und benachrichtigen andere Unternehmen, deren Infrastruktur für böswillige Aktivitäten genutzt wird.

Systeme dieser Art sind als Honeypots [EN] bekannt – Täuschkörper, die eingerichtet wurden, um das Verhalten von Threat Actors zu erfassen – und dienen seit langem als wertvolle Beobachtungs- und Bedrohungsdaten-Tools. Der Ansatz, den wir mit MadPot verfolgen, führt jedoch zu einzigartigen Erkenntnissen, die sich aus unserer Größe bei AWS und der Automatisierung des Systems ergeben. Um Threat Actors anzulocken, deren Verhalten wir dann beobachten und entsprechend handeln können, haben wir das System so konzipiert, dass es aussieht, als bestünde es aus einer großen Anzahl plausibler, unschuldiger Ziele. Die Nachahmung realer Systeme in einer kontrollierten und sicheren Umgebung liefert Beobachtungen und Erkenntnisse, die wir oft sofort nutzen können, um schädliche Aktivitäten zu stoppen und um Kunden zu schützen.

Natürlich wissen Threat Actors, dass es solche Systeme gibt und ändern daher häufig ihre Techniken – wir aber auch. Wir investieren viel, um sicherzustellen, dass MadPot sein Verhalten ständig ändert und weiterentwickelt, um weiterhin Einblick in Aktivitäten zu haben, die die Taktiken, Techniken und Verfahren von Threat Actors offenlegen. Wir nutzen diese Informationen schnell in AWS-Tools wie AWS Shield und AWS WAF, sodass viele Bedrohungen frühzeitig durch die Einleitung automatisierter Reaktionen entschärft werden. Gegebenenfalls stellen wir Kunden die Bedrohungsdaten auch über Amazon GuardDuty zur Verfügung, damit diese mit ihren eigenen Tools und Automatisierungen reagieren können.

Drei Minuten bis zum Ausnutzungsversuch

Innerhalb von etwa 90 Sekunden nach dem Start eines neuen Sensors innerhalb unseres MadPot-simulierten Workload können wir beobachten, dass der Workload von Programmen entdeckt wurde, die das Internet scannen. Von dort aus dauert es durchschnittlich nur drei Minuten, bis Versuche unternommen werden, in das System einzudringen und es auszunutzen. Dies ist eine erstaunlich kurze Zeitspanne, wenn man bedenkt, dass diese Workloads nicht öffentlich bekannt gemacht werden oder Teil anderer sichtbarer Systeme sind, die für Threat Actors offensichtlich wären. Dies zeigt deutlich, wie intensiv das Scannen und wie hoch der Automatisierungsgrad ist, mit dem Threat Actors ihr nächstes Ziel finden.

Während diese Versuche ablaufen, analysiert das MadPot-System die Telemetrie, den Code, die versuchten Netzwerkverbindungen und andere wichtige Datenpunkte zum Verhalten des Threat Actors. Diese Informationen werden noch wertvoller, wenn wir die verschiedenen Aktivitäten der Threat Actors zusammenfassen, um ein vollständigeres Bild der verfügbaren Informationen zu erhalten.

Unterbrechung von Angriffen zur Aufrechterhaltung des normalen Geschäftsbetriebs

In MadPot findet auch eine detaillierte Bedrohungsanalyse statt. Das System startet die erfasste Malware in einer Sandbox-Umgebung, verknüpft Informationen aus unterschiedlichen Techniken zu Bedrohungsmustern und vieles mehr. Wenn die gesammelten Signale ein ausreichend hohes Vertrauen in ein Ergebnis liefern, reagiert das System so, dass Bedrohungen wann immer möglich unterbunden werden. Beispielsweise indem die Ressourcen eines Threat Actors vom AWS-Netzwerk getrennt werden oder indem diese Informationen so vorbereitet werden, dass sie mit der breiteren Community geteilt werden. Etwa einem Computer Emergency Response Team (CERT), einem Internet Service Provider (ISP), einem Domain-Registrar oder einer Regierungsbehörde, damit diese dabei helfen können, die erkannte Bedrohung abzuwehren.

Als große Internetpräsenz übernimmt AWS die Verantwortung, die Security-Community nach Möglichkeit zu unterstützen und mit ihr zusammenzuarbeiten. Der Austausch von Information innerhalb der Community hat eine lange Tradition und ist ein Bereich, in dem wir uns seit Jahren aktiv engagieren.

Im ersten Quartal 2023:

• Haben wir für unsere Anti-Botnet-Sicherheitsbemühungen 5,5 Milliarden Signale von unseren Internet-Bedrohungssensoren und 1,5 Milliarden Signale von unseren aktiven Netzwerksonden verwendet.
• Haben wir über 1,3 Millionen ausgehende Botnet-gesteuerte DDoS-Angriffe gestoppt.
• Haben wir unsere Sicherheitsinformationen, darunter fast tausend Botnet-C2-Hosts, mit relevanten Hosting-Anbietern und Domain-Registraren geteilt.
• Haben wir die Quellen von 230.000 L7/HTTP(S)-DDoS-Angriffen zurückverfolgt und mit externen Parteien zusammengearbeitet, um sie zu beseitigen.

Drei Beispiele für die Wirksamkeit von MadPot: Botnets, Sandworm und Volt Typhoon

Kürzlich hat MadPot verdächtige Signale entdeckt, gesammelt und analysiert, die ein DDoS-Botnet aufdeckten, das die Domain free.bigbots.[tld] (die Top-Level-Domain wurde weggelassen) als Command-and-Control-Domain (C2) verwendet hat. Ein Botnet besteht aus kompromittierten Systemen, wie z. B. Computern, Heimroutern und IoT-Geräten, die unschuldigen Parteien gehören, und auf denen Malware installiert ist, die auf Befehle wartet, um ein Ziel mit Netzwerkpaketen zu überfluten. Bots unter dieser C2-Domain starteten 15-20 DDoS-Angriffe pro Stunde mit einer Rate von etwa 800 Millionen Paketen pro Sekunde.

Bei der Analyse dieser Bedrohung durch MadPot haben wir eine Liste von IP-Adressen aufgedeckt, die von den C2-Servern verwendet werden und einer extrem hohen Anzahl von Anfragen der Bots entsprechen. Unsere Systeme sperrten diese IP-Adressen für den Zugriff auf AWS-Netzwerke, sodass ein kompromittierter Kunden-Rechenknoten auf AWS nicht an den Angriffen teilnehmen konnte. Die AWS-Automatisierung nutzte dann die gesammelten Informationen, um das Unternehmen, das die C2-Systeme gehostet hatte, und den für den DNS-Namen zuständigen Registrar zu kontaktieren. Das Unternehmen, in dessen Infrastruktur die C2-Systeme gehostet wurden, nahm sie in weniger als 48 Stunden vom Netz, und die Domänenregistrierungsstelle setzte den DNS-Namen in weniger als 72 Stunden außer Betrieb. Ohne die Möglichkeit, DNS-Einträge zu kontrollieren, konnte der Threat Actor das Netzwerk nicht einfach wiederbeleben, indem er die C2s an einen anderen Netzwerkstandort verlegte. In weniger als drei Tagen waren diese weit verbreitete Malware und die für ihren Betrieb erforderliche C2-Infrastruktur nicht mehr funktionsfähig, und die DDoS-Angriffe auf Systeme im gesamten Internet kamen zum Erliegen.

MadPot erkennt und versteht die Threat Actors, die es auf viele verschiedene Arten von Infrastrukturen abgesehen haben, nicht nur auf Cloud-Infrastrukturen, einschließlich der Malware, Ports und Techniken, die sie verwenden. So konnten wir mit MadPot die Bedrohungsgruppe namens Sandworm identifizieren – eine Gruppe, die mit Cyclops Blink in Verbindung steht, einer Malware, die zur Verwaltung eines Botnetzes aus kompromittierten Routern verwendet wird. Sandworm versuchte, eine Sicherheitslücke auszunutzen, die WatchGuard Netzwerksicherheitsgeräte betrifft. Bei der genauen Untersuchung der Nutzdaten konnten wir nicht nur IP-Adressen, sondern auch andere eindeutige Attribute identifizieren, die mit der Sandworm-Bedrohung in Verbindung stehen und an der versuchten Kompromittierung eines AWS-Kunden beteiligt waren. Die einzigartige Fähigkeit von MadPot, eine Vielzahl von Diensten zu imitieren und ein hohes Maß an Interaktion zu ermöglichen, half uns dabei, zusätzliche Details über Sandworm-Kampagnen zu erfassen, wie z. B. die Dienste, auf die der Akteur abzielte, und die Befehle, die er nach der Ausbeutung initiierte. Anhand dieser Informationen haben wir den Kunden benachrichtigt, der sofort handelte, um die Schwachstelle zu beheben. Ohne dieses schnelle Handeln hätte der Angreifer möglicherweise im Netzwerk des Kunden Fuß fassen und sich Zugang zu anderen Organisationen verschaffen können, die der Kunde betreut.

In unserem letzten Beispiel wurde das MadPot-System verwendet, um den staatlichen Cyber- und Strafverfolgungsbehörden dabei zu helfen, Volt Typhoon zu identifizieren und schließlich zu stören. Volt Typhoon ist ein staatlich gesponserter Threat Actor, der sich auf verdeckte und gezielte Cyberspionagekampagnen gegen kritische Infrastrukturen konzentriert. Durch unsere Ermittlungen in MadPot konnten wir eine von dem Threat Actor übermittelte Payload identifizieren, die eine eindeutige Signatur enthielt, welche es ermöglichte, Aktivitäten von Volt Typhoon zu identifizieren und zuzuordnen, die andernfalls scheinbar in keinem Zusammenhang stehen würden. Mithilfe des Data Lakes, in dem der vollständiger Verlauf der MadPot-Interaktionen gespeichert ist, konnten wir sehr schnell Daten von mehreren Jahren durchsuchen und schließlich weitere Beispiele für diese eindeutige Signatur identifizieren, die bereits im August 2021 in Nutzdaten an MadPot gesendet wurde. Die vorherige Anfrage war scheinbar harmlos, so dass wir davon ausgingen, dass sie mit einem Aufklärungswerkzeug verbunden war. Wir konnten dann andere IP-Adressen identifizieren, die der Threat Actor in den letzten Monaten verwendet hat. Wir teilten unsere Erkenntnisse den Regierungsbehörden mit, und diese schwierig herstellbaren Verbindungen trugen zu den Untersuchungen und Schlussfolgerungen der Cybersecurity and Infrastructure Security Agency (CISA) der US-Regierung bei. Unsere Arbeit und die Arbeit anderer kooperierender Parteien resultierte im Cybersecurity Advisory [EN, Extern] vom Mai 2023. Bis heute beobachten wir den Threat Actor, der die US-Netzwerkinfrastruktur sondiert, und wir teilen weiterhin Einzelheiten mit den zuständigen staatlichen Cyber- und Strafverfolgungsorganisationen.

Einsatz von Bedrohungsdaten im globalen Maßstab für AWS-Kunden und darüber hinaus

Bei AWS hat Sicherheit oberste Priorität, und wir arbeiten hart daran, zu verhindern, dass Sicherheitsprobleme Ihr Geschäft beeinträchtigen. Bei der Verteidigung unserer Infrastruktur und Ihrer Daten nutzen wir unsere globalen Einblicke, um eine große Menge an Sicherheitsinformationen in Echtzeit zu sammeln und Sie so automatisch zu schützen. Wann immer es möglich ist, verhindern AWS Security und seine Systeme Bedrohungen dort, wo es am wirkungsvollsten ist; oft geschieht diese Arbeit weitgehend im Hintergrund. Wie im oben beschriebenen Botnet-Fall gezeigt, neutralisieren wir Bedrohungen, indem wir unsere globalen Bedrohungsdaten im globalen Maßstab nutzen und mit Unternehmen zusammenarbeiten, die direkt von bösartigen Aktivitäten betroffen sind. Wir integrieren die Erkenntnisse von MadPot in AWS-Sicherheits-Tools, darunter präventive Services wie AWS WAF, AWS Shield, AWS Network Firewall und Amazon Route 53 Resolver DNS Firewall sowie detektivische und reaktive Services wie Amazon GuardDuty, AWS Security Hub und Amazon Inspector, und geben unseren Kunden gegebenenfalls Sicherheitsinformationen direkt in die Hand, damit sie ihre eigenen Reaktionsverfahren und Automatisierungen entwickeln können.

Unsere Arbeit geht jedoch weit über die Grenzen von AWS selbst hinaus. Wir arbeiten eng mit der Sicherheitsgemeinschaft und kooperierenden Unternehmen auf der ganzen Welt zusammen, um Threat Actors zu isolieren und auszuschalten. In der ersten Hälfte dieses Jahres haben wir Informationen über fast 2.000 Botnetz-C2-Hosts mit relevanten Hosting-Anbietern und Domain-Registraren geteilt, um die Kontrollinfrastruktur der Botnetze auszuschalten. Wir haben auch die Quellen von etwa 230.000 Layer-7-DDoS-Angriffen zurückverfolgt und mit externen Parteien zusammengearbeitet, um sie zu beseitigen. Die Wirksamkeit unserer Abwehrstrategien hängt in hohem Maße von unserer Fähigkeit ab, Bedrohungsinformationen schnell zu erfassen, zu analysieren und darauf zu reagieren. Mit diesen Schritten geht AWS über die typische DDoS-Abwehr hinaus und verlagert unseren Schutz über unsere Grenzen hinaus.

Wir freuen uns, Informationen über MadPot und einige der Funktionen, die wir heute nutzen, weitergeben zu können. Weitere Informationen finden Sie in dieser Präsentation von unserer letzten re:Inforce-Konferenz: Wie AWS Threat Intelligence zu managed Firewall-Regeln wird (auf Englisch), sowie in einem am 28. September 2023 veröffentlichten Übersichtsbeitrag: Lernen Sie MadPot kennen, ein Threat-Intelligence-Tool, das Amazon verwendet, um Kunden vor Cyberkriminalität zu schützen [EN] enthält einige gute Informationen über den AWS-Sicherheitsingenieur, der hinter der ursprünglichen Entwicklung von MadPot steht. Sie können davon ausgehen, dass Sie in Zukunft noch mehr von uns hören werden, wenn wir unsere Bedrohungserkennungs- und Reaktionssysteme weiterentwickeln und verbessern, um sowohl AWS als auch das Internet insgesamt sicherer zu machen.

Wenn Sie Fragen zu diesem Beitrag haben, wenden Sie sich an den AWS-Support. Möchten Sie weitere AWS-Sicherheitsnachrichten? Folgen Sie uns auf X (vormals Twitter).

Über den Autor

Mark Ryland ist Sicherheitsdirektor bei Amazon und hat seinen Sitz in Virginia. Er verfügt über mehr als 30 Jahre Erfahrung in der Technologiebranche und hat in Führungspositionen im Bereich Cybersicherheit, Softwaretechnik, verteilte Systeme, Technologiestandardisierung und öffentliche Politik gedient. Als langjähriger Mitarbeiter von AWS mit über 12 Jahren Erfahrung begann er als Direktor für Solutions Architecture und Professional Services im weltweiten Team für den öffentlichen Sektor bei AWS. Zuletzt gründete und leitete er das AWS-Büro des CISO (Chief Information Security Officer).