BotClouds: Cloudproviders staan er gekleurd op

Scala aan hackaanvallen

Ze verstuurden verschillende soorten kwaadaardig verkeer van virtuele machines in de cloud naar HTTP-, FTP- en SMTP-servers. Bij een test-scenario stond de server die het doelwit was, in een typische netwerkomgeving, achter een firewall en een IDS (Intrusion Detection System). Ook verstuurden ze malware over het netwerk van de cloudprovider, om te zien of dit verkeer werd opgemerkt.

In de experimenten werd een scala aan hackmethoden toegepast: agressief scannen van poorten, malware werd verstuurd via reverse shell, denial of service attack op webservers, brute-force FTP wachtwoord kraakpogingen, SQL injecties, cross site scripting, path traversal en andere populaire aanvallen op webapplicaties.

Cloudproviders staan er gekleurd op

De vijf cloud leveranciers staan er gekleurd op. “Geen enkele connectie werd stopgezet of gereset op het moment dat er kwaadaardig verkeer binnenkwam of uitging. De eigenaren van de accounts werden niet gealarmeerd en er werden geen beperkingen opgelegd aan de cloudinstanties,” schrijft Pedram Hayati, senior consultant van Stratsec in een blog hierover.

botCloud eenvoudig op te zetten

Hayati concludeert op basis van de resultaten dat cybercriminelen eenvoudig botnets kunnen opzetten en gebruiken die op cloudinstanties draaien. “Dit type cloudbotnets is zelf makkelijker op te zetten en te beheren dan traditionele botnets, voor wie kennis heeft van de API (application programming interface) van de cloudleverancier. Omdat cloudinstances heel snel gerepliceerd kunnen worden, zeer krachtig en stabiel zijn en beschikken over voldoende bandbreedte.”

“Met een budget van 7 dollar en minimale hardwarespecificaties is het mogelijk een botCloud op te zetten van tien tot honderden cloudinstances. Wij definiëren een botCloud als een groep cloudinstances die onder controle staan van een kwaadwillende entiteit om er cybersecurityaanvallen mee uit te voeren,” zegt Hayati. Toch zit er ook een belangrijk nadeel aan dit type botnet, omdat het moeilijk is af te schermen tegen pogingen om het botnet neer te halen. De leveranciers zullen botClouds makkelijk stil kunnen leggen op het moment dat ze er door klanten of beveiligers op worden gewezen.