网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

Sysdig 威胁研究团队最近在客户环境中发现了一起导致专有数据被盗的复杂云活动：SCARLETEEL。攻击者利用容器化的工作负载将特权升级到 AWS 帐户，以便盗取专有软件和凭据。他们还企图使用 Terraform 状态文件转而攻击其他连接的 AWS 帐户，以便在整个组织中横向移动。

这次攻击比大多数攻击来得复杂，原因是它从受攻击的 Kubernetes 容器开始传播到受害者的 AWS 帐户。攻击者还了解 AWS 云机制，比如弹性计算云（EC2）角色、Lambda 无服务器函数和 Terraform。最终结果不是一起典型的加密货币劫持攻击。攻击者还有其他更阴险的动机：盗取专有软件。

在去年，云端网络攻击猛增了 56%。最常见的动机是在云端获得持久性、窃取敏感数据以及创建用于挖掘加密货币的 EC2 实例等新资源。这些资源可能会对组织的云账单产生严重影响。但更多侧重间谍活动的动机也依然存在。实际上，攻击者可以利用云资源从事挖掘加密货币之外的勾当。

我们看到的这起复杂攻击涉及多方面，这表明了保护基于云的基础设施的复杂性。单凭漏洞管理解决不了所有问题。有许多工具可以降低来自高级威胁的风险，包括虚拟机、云安全态势管理（CSPM）、云基础设施授权管理（CIEM）、运行时威胁检测和密文管理。

概述

这张信息图显示了杀伤链的主要步骤。不妨先显示攻击的概貌，然后更详细地介绍每个步骤。

第 1 步：攻击者利用托管在 AWS 云帐户内的自管理 Kubernetes 集群中面向公众的服务获得初始访问权。

第 2 步：一旦攻击者获得了 pod 的访问权，恶意软件就能够在执行过程中执行两个初始操作：

启动加密货币挖掘软件，以便牟利或分散注意力。

通过实例元数据服务（IMDS）v1 中 worker 的临时凭据获得凭据访问权，使用集群角色权限代表 worker 枚举和收集信息。由于授予的权限过大，攻击者能够：

1）枚举 AWS 资源。

2）找到其他身份和访问管理（IAM）用户的凭据，它们被设置为 Lambda 环境变量，并以明文形式推送到亚马逊 S3 存储桶中。

第 3 步：攻击者使用前一步中发现的凭据来横向移动。他们直接联系 AWS API，进一步枚举帐户，进而收集信息和泄露数据。他们在这一步中能够：

1）禁用 CloudTrail 日志以逃避检测。

2）盗取专有软件。

3）通过发现 S3 存储桶中的 Terrraform 状态文件，找到与不同 AWS 帐户相关的 IAM 用户的凭据。

第 4 步：攻击者使用新的凭据再次横向移动，从他们发现的其他 AWS 帐户重复攻击和杀伤链。幸好他们无法枚举资源，因为他们尝试的所有 AWS API 请求都因缺乏权限而失败。

技术分析

初始访问——容器受攻击

攻击者发现并利用了一项暴露在互联网面前的服务，它部署在 Kubernetes 集群中。一旦他们访问了容器，开始执行不同的操作以发动攻击。

第一个操作是下载和启动挖币软件，以窃取一些内存周期。这是自动化容器威胁的常见伎俩。攻击者启动了脚本 miner.sh，以便运行一个 XMRig 可执行文件以及挖币软件配置文件 config_background.json。

然而，攻击的目的绝不单单是挖币。挖币是攻击者的最初目标，一旦他们访问了受害者的环境，目标就随之改变，或者挖币被用作逃避数据泄露检测的手段。在安装挖币软件期间，我们观察到容器上同时运行一个 bash 脚本，以枚举和提取环境中的额外信息，比如凭据。

为了找到凭据，攻击者直接访问 IMDS。IMDS v1 是在 AWS 中创建自管理集群或 EC2 实例的旧版本时默认使用的版本，它用于配置和管理机器。

从 IMDS v1 检索绑定到 EC2 实例角色的 AWS 临时安全凭据是一种很常见的做法。攻击者可能发现 IAM 角色绑定到运行以下代码的 worker 实例：

role_name=$ ( curl )

然后获取 AccessKeyId、SecretAccessKey 和临时令牌：

metadata_content=$ ( curl $role_name )

查看对 IMDS v1 的恶意请求，我们还发现了对一个不太为人所知的内部端点（" 仅限内部使用 "）的请求，AWS 文档有解释（https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/instancedata-data-categories.html）。

metadata_content=$ ( curl )

下面屏幕截图显示了攻击者如何攻击实例元数据端点以及恶意脚本执行了哪些命令来 grep 和检索 IAM 角色密钥。