一個被稱為 "SCARLETEEL "的高級黑客行動針對面向公眾的網(wǎng)絡(luò)應(yīng)用，其主要手段是滲透到云服務(wù)中以竊取敏感數(shù)據(jù)。

SCARLETEEL是由網(wǎng)絡(luò)安全情報公司Sysdig在應(yīng)對客戶的云環(huán)境事件時發(fā)現(xiàn)的。

雖然攻擊者在受感染的云環(huán)境中部署了加密器，但黑客在AWS云機(jī)制方面表現(xiàn)出更專業(yè)的技術(shù)，進(jìn)一步鉆入該公司的云基礎(chǔ)設(shè)施。

Sysdig認(rèn)為，加密劫持攻擊僅僅是一個誘餌，而攻擊者的目的是竊取專利軟件。

SCARLETEEL攻擊

SCARLETEEL攻擊開始時，黑客利用了托管在亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）上的Kubernetes集群中面向公眾的服務(wù)。

一旦攻擊者訪問容器，他們就會下載一個XMRig coinminer（被認(rèn)為是誘餌）和一個腳本，從Kubernetes pod中提取賬戶憑證。

然后，被盜的憑證被用來執(zhí)行AWS API調(diào)用，通過竊取進(jìn)一步的憑證或在公司的云環(huán)境中創(chuàng)建后門來獲得持久性。然后這些賬戶被用來在云環(huán)境中進(jìn)一步傳播。

根據(jù)AWS集群的角色配置，攻擊者還可能獲得Lambda信息，如功能、配置和訪問密鑰。

攻擊者執(zhí)行的命令

接下來，攻擊者使用Lambda函數(shù)枚舉和檢索所有專有代碼和軟件，以及執(zhí)行密鑰和Lambda函數(shù)環(huán)境變量，以找到IAM用戶憑證，并利用它們進(jìn)行后續(xù)枚舉和特權(quán)升級。

S3桶的枚舉也發(fā)生在這一階段，存儲在云桶中的文件很可能包含對攻擊者有價值的數(shù)據(jù)，如賬戶憑證。

Sysdig的報告中說："在這次特定的攻擊中，攻擊者能夠檢索和閱讀超過1TB的信息，包括客戶腳本、故障排除工具和日志文件。這1TB的數(shù)據(jù)還包括與Terraform有關(guān)的日志文件，Terraform在賬戶中被用來部署部分基礎(chǔ)設(shè)施。這些Terraform文件將在后面的步驟中發(fā)揮重要作用，也就是攻擊者可能轉(zhuǎn)到另一個AWS賬戶"。

SCARLETEEL攻擊鏈

為了盡量減少留下的痕跡，攻擊者試圖禁用被攻擊的AWS賬戶中的CloudTrail日志，這對Sysdig的調(diào)查產(chǎn)生了不小的困難。

然而，很明顯，攻擊者從S3桶中檢索了Terraform狀態(tài)文件，其中包含IAM用戶訪問密鑰和第二個AWS賬戶的密鑰。這個賬戶被用來在該組織的云計(jì)算中進(jìn)行橫移。

由TruffleHog發(fā)現(xiàn)的Terraform秘密

基于云的基礎(chǔ)設(shè)施安全

隨著企業(yè)越來越依賴云服務(wù)來托管他們的基礎(chǔ)設(shè)施和數(shù)據(jù)，黑客們也在與時俱進(jìn)，成為API和管理控制臺方面的專家，繼續(xù)他們的攻擊。

SCARLETEEL攻擊證明，企業(yè)在云環(huán)境中的任何一個薄弱點(diǎn)都足以讓攻擊者利用它進(jìn)行網(wǎng)絡(luò)滲透和敏感數(shù)據(jù)盜竊，當(dāng)然這些攻擊者可能技術(shù)更高。

Sysdig建議企業(yè)采取以下安全措施，以保護(hù)其云基礎(chǔ)設(shè)施免受類似攻擊：

• 及時更新你所有的軟件
• 使用IMDS v2而不是v1，這可以防止未經(jīng)授權(quán)的元數(shù)據(jù)訪問
• 對所有用戶賬戶采用最小特權(quán)原則
• 對可能包含敏感數(shù)據(jù)的資源進(jìn)行只讀訪問，如Lambda
• 刪除舊的和未使用的權(quán)限
• 使用密鑰管理服務(wù)，如AWS KMS、GCP KMS和Azure Key Vault

Sysdig還建議實(shí)施一個全面的檢測和警報系統(tǒng)，以確保及時報告攻擊者的惡意活動，即使他們繞過了保護(hù)措施。