Mit ShadowV2 wird DDoS zu einem Cloud-nativen Abo-Dienst

Laut einer Darktrace-Analyse nutzt eine ShadowV2-Bot-Kampagne falsch konfigurierte Docker-Container auf AWS und rüstet sie für DDoS-as-a-Service-Angriffe auf.

Was ShadowV2 dabei besonders macht, ist die professionelle Ausstattung mit APIs, Dashboards, Betreiber-Logins und sogar animierten Benutzeroberflächen. „Dies ist eine weitere Erinnerung daran, dass Cyberkriminalität kein Nebenjob mehr ist, sondern eine Industrie“, erklärt Shane Barney, CISO bei Keeper Security. „Diese Art der Industrialisierung sollte für Verteidiger ein Weckruf sein“, so der Experte.

Offenes Docker-System wird zum Einfallstor

Wie die Forschenden von Darktrace herausfanden, dringt dass ShadowV2 über exponierte Docker-APIs auf AWS EC2 ein und nutzt Fehlkonfigurationen in Cloud-Native-Umgebungen als Startrampe für DDoS-Attacken. Die Angreifer verwendeten hierfür Python Docker SDK, um mit den offengelegten Docker-Daemons zu kommunizieren.

„Diese Kampagne richtet sich gezielt gegen exponierte Docker-Daemons, insbesondere solche, die auf AWS EC2 laufen“, erklären die Darktrace-Forscher in einem Blogbeitrag. „Darktrace betreibt mehrere Honeypots über verschiedene Cloud-Anbieter hinweg und hat Angriffe bislang nur gegen Honeypots auf AWS EC2 beobachtet. Sie ergänzen, standardmäßig sei Docker nicht über das Internet erreichbar, könne aber so konfiguriert werden, dass externer Zugriff möglich ist.

Der trojanische Container

Bei ihren Attacken verlassen sich die Hacker dabei nicht auf vorgefertigte Schad-Images, sondern erstellen Container auf dem Gerät des Opfers selbst. Die genauen Hintergründe für diesen Ansatz sind allerdings noch unklar. Die Forschenden vermuten aber, dass die Kriminellen so versuchen wollen, forensische Spuren durch den Import eines Schad-Containers zu reduzieren.

Einmal eingedrungen, setzt die Malware einen Go-basierten Remote Access Trojan (RAT) ein, der sich dauerhaft etabliert, indem er sekündliche Anrufe tätigt, Befehle bei seinen Operatoren abfragt und massive HTTP-Flood-Angriffe vornimmt.

Die Angreifer nutzten zudem fortgeschrittene Funktionen wie HTTP/2 Rapid Reset und Cloudflares „Under Attack Mode“-Bypass ein, um für Störungen zu sorgen, so der Bericht.

Geringere Hürden für Kriminelle

„DDoS-as-a-Service senkt die Eintrittshürden für Hacker“, erklärt Kevin Lim, Senior Director und Head of Security Engineering (APAC) bei Black Duck. Zudem ermögliche er es selbst weniger erfahrenen Akteuren, mit minimalem Aufwand groß angelegte Angriffe zu starten. „Falsch konfigurierte Docker-Umgebungen werden dabei immer ein Hauptziel sein“, so der Experte.

Lim rät Unternehmen deshalb, Docker-Umgebungen zu härten, das Prinzip der geringsten Privilegien durchzusetzen und Sicherheit frühzeitig in die CI/CD-Pipeline zu integrieren.

Vom Botnet zur Business-Plattform

ShadowV2 ist aber nicht nur eine Malware, sondern auch ein Marktplatz. So entdecke Darktrace eine vollständige Benutzeroberfläche, die mit Tailwind und FastAPI erstellt wurde, komplett mit Swagger-Dokumentation, Administrator- und User-Privilege-Stufen, Blacklists und modularen Angriffsoptionen. Das Design ähnelte dabei laut den Experten legitime SaaS-Plattformen, mit Dashboards sowie Animationen, die DDoS-Angriffe so einfach machen wie einen Klick auf „Start“.

Jason Soroko, Senior Fellow bei Sectigo, sieht dies als Teil eines breiteren kriminellen Trends, bei dem Spezialisierung gegenüber Ausbreitung siegt. „Das Vorhandensein einer API und einer vollständigen Benutzeroberfläche macht Botnets zu einem Problem, wodurch sich die Erkennung von Host-Indikatoren auf das Verhalten der Kontrollebene verlagert“, so Soroko.

„Statt isolierter Kampagnen sehen sich Verteidiger nun mit Produkten konfrontiert, die über Roadmaps, Funktionserweiterungen und Kunden-Support-Modelle verfügen“, fügt er hinzu. Diese Einschätzung teilen auch die Experten von Darktrace und ergänzten, dass ein mehrschichtiger Ansatz erforderlich ist, um ShadowV2 zu bekämpfen.

Dieser beinhalte tiefe Einblicke in containerisierte Umgebungen sowie Verhaltensanalysen, um Anomalien in Docker-APIs und der Container-Orchestrierungsaktivität zu erkennen. (tf/mb)