Forscher nutzen kostenlose Testinstanzen in der Cloud zum Aufbau eines Botnets

CloudSicherheit
Der bislang größte DDos-Angriff nutzte das Protokoll NTP.

Das Botnetz kann für das Mining digitaler Währungen, DDoS- oder Brute-Force-Angriffe auf Passwörter verwendet werden. Für einen solchen Testzugang ist bei zwei Drittel der Cloud-Anbieter lediglich eine Mailadresse erforderlich. Einzelheiten wollen Rob Ragan und Oscar Salazar auf der Black-Hat-Konferenz Anfang August in Las Vegas vorstellen.

Auf der vom 2. bis 7. August in las Vegas stattfindenden Konferenz Black Hat wollen Rob Ragan und Oscar Salazar vorführen, wie aus kostenlosen Instanzen bei Applikations-Hosting-Dienstleistern ein Botnetz erstellt werden kann. Die beiden Sicherheitsforscher haben das Grundgerüst ihres “Zombie-Online-Botnetzes” bereits im Vorfeld gegenüber Wired erläutert.

Der bislang größte DDos-Angriff nutzte das Protokoll NTP.

Demnach setzen die beiden lediglich Test-Instanzen sowie ständig kostenlos angebotene Dienste von Cloud-Anbietern ein. Dafür erstellten sie diese automatisch in großer Zahl. Somit haben sie ein Botnetz aus etwa tausend Instanzen (also virtuellen Server) gebaut.

“Wir haben letztlich einen kostenlosen Supercomputer entwickelt”, zitiert die US-Publikation Ragan. “Bösartige Aktivitäten auf Basis solcher Dienste werden wir künftig sicherlich vermehrt beobachten.” Beide arbeiten für das Security-Beratungsunternehmen Bishop Fox.

Laut den Forschern lässt sich ein solches Botnetz in der Cloud verwenden, um gezielte Angriff zum Knacken von Passwörtern oder fürs Mining von Kryptowährungen wie Bitcoin zu starten. Ihr erstelltes Botnetz ist speziell für ein Mining von Litecoin gedacht. Dies ist nach Bitcoin die zweitmeistgenutzte digitale Währung. Bei einem Test konnten sie täglich etwa 25 Cent pro Cloudzugang erzeugen. Pro Woche wären dies dauerhaft rund 1750 Dollar. “Und die Stromrechnung zahlen andere”, sagt Ragan.

Solange es nicht für Angriffe oder illegales Mining zum Einsatz kommt, sind Ragan und Salazar davon überzeugt, dass ihr Botnetz legal ist. Allerdings verstoßen sie möglicherweise gegen die Nutzungsbedingungen der Cloudanbieter. Echten Kriminellen dürfte das aber auch gleichgültig sein.

Von 150 Cloud-Anbietern untersuchten sie dem Bericht zufolge die eingerichteten Registrierungsverfahren. Demnach verlangte nur ein Drittel einen über eine E-Mail-Adresse hinausgehenden Identitätsnachweis. Diese Anbieter fragten nach einer Telefon- oder Kreditkartennummer oder blenden ein Captcha ein.

Die Forscher nutzten unter anderem Amazon, CloudBees, Cloud Foundry, Google und Heroku, berichtet Wired weiter. Die Forscher selbst haben aber keine Namen von Unternehmen genannt, bei denen sie automatisch kostenlose Zugänge einrichten konnten. Ihrer Ansicht nach ist das Bestreben der meisten Anbieter schnell Kunden zu gewinnen und nicht der Schutz vor Missbrauch.

Bedenklich ist an dem geschilderten Verfahren auch, dass sich ein solches Botnetz für Denial-of-Service-Angriffe nutzen ließe. Opfer hätten dann mutmaßlich große Probleme, müssten sie doch Traffic ausfiltern, der von wichtigen Cloud-Anbietern kommt. “Stellen Sie sich ein DDos-Attacke vor, bei der die IP-Adressen alle Google und Amazon gehören”, sagt Ragan. “Das wird eine Herausforderung. Sie können nicht deren ganzes IP-Spektrum blockieren.”

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.