幾個(gè)月前��,RedLock云安全智能(CSI)團(tuán)隊(duì)發(fā)現(xiàn)了數(shù)百個(gè)Kubernetes管理控制臺(tái)���,這些控制臺(tái)可以通過互聯(lián)網(wǎng)上訪問,但沒有任何密碼保護(hù)�����。
其中一些案例屬于英國(guó)跨國(guó)保險(xiǎn)公司英杰華(Aviva)和全球最大的SIM卡制造商金雅拓(Gemalto)。在這些控制臺(tái)中����,可以訪問這些組織的亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)和Microsoft
Azure環(huán)境的訪問憑據(jù)。
經(jīng)過進(jìn)一步的調(diào)查后����,該團(tuán)隊(duì)確定黑客已經(jīng)秘密滲透到這些組織的公共云環(huán)境中,并使用計(jì)算實(shí)例來挖掘加密貨幣(參閱云安全趨勢(shì)——2017年10月報(bào)告)��。
從那時(shí)以來�����,一些其他的隱藏劫持事件被發(fā)現(xiàn)�,并且在攻擊方面存在顯著的差異。
在涉及WannaMine惡意軟件的案例中�����,使用名為Mimikatz的工具被用來從計(jì)算機(jī)的內(nèi)存中提取憑證���,以感染網(wǎng)絡(luò)上的其他計(jì)算機(jī)��。然后�����,惡意軟件就會(huì)使用受感染的計(jì)算機(jī)來在后臺(tái)安靜地使用名為Monero的加密貨幣�����。Mimikatz的使用可確保惡意軟件不必依賴于EternalBlue的漏洞���,并使其能夠在完全修補(bǔ)的系統(tǒng)中逃避檢測(cè)���。
Nikola
Tesla以其對(duì)現(xiàn)代交流電力(AC)供應(yīng)系統(tǒng)設(shè)計(jì)的貢獻(xiàn)而聞名,他巧妙地提出:每件事都要經(jīng)過一段時(shí)間的發(fā)展���。從本質(zhì)上講���,我們正開始見證密碼破解的進(jìn)化�����,因?yàn)楹诳蛡冋J(rèn)識(shí)到這些攻擊的巨大好處�,并開始探索新的變化以逃避偵查���。
“這是自相矛盾的,然而��,我們知道的越多���,我們就越無知�����,因?yàn)橹挥型ㄟ^啟蒙����,我們才意識(shí)到自己的局限性�����。在知識(shí)分子進(jìn)化過程中��,最令人滿意的結(jié)果之一就是不斷開拓新的更廣闊的前景�。”—Nikola Tesla
最新受害者:特斯拉
RedLock CSI團(tuán)隊(duì)的一項(xiàng)新研究顯示���,最新的密碼盜竊受害者是特斯拉��。雖然這次攻擊與英杰華和金雅圖的攻擊相似��,但也有一些明顯的不同��。
黑客入侵了特斯拉的Kubernetes控制臺(tái)��,該控制臺(tái)沒有密碼保護(hù)�����。在一個(gè)Kubernetes
pod中�����,訪問憑證暴露在特斯拉的AWS環(huán)境中����,該環(huán)境包含一個(gè)亞馬遜S3 (Amazon Simple Storage
Service)存儲(chǔ)桶,該存儲(chǔ)桶有一些敏感數(shù)據(jù)�,比如遙測(cè)技術(shù)。
除了數(shù)據(jù)曝光之外���,黑客還在特斯拉的Kubernetes pod中進(jìn)行加密挖掘。該小組注意到在這次襲擊中使用了一些復(fù)雜的規(guī)避措施。
不同于其他加密挖掘事件�����,黑客在這次攻擊中沒有使用眾所周知的公共“礦池”����。相反,他們安裝了挖掘池軟件�����,并配置了惡意腳本以連接到“未列出”或半公共端點(diǎn)����。這使得標(biāo)準(zhǔn)的基于IP/域的威脅情報(bào)源很難檢測(cè)到惡意活動(dòng)。
黑客還隱藏了CloudFlare背后礦池服務(wù)器的真實(shí)IP地址���,這是一個(gè)免費(fèi)的內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)服務(wù)�。黑客可以通過注冊(cè)免費(fèi)的CDN服務(wù)來使用新的IP地址�。這使得基于IP地址的加密挖掘活動(dòng)更加具有挑戰(zhàn)性。
此外����,該挖掘軟件被配置為監(jiān)聽一個(gè)非標(biāo)準(zhǔn)端口�,這使得檢測(cè)基于端口流量的惡意活動(dòng)變得困難���。
最后���,該團(tuán)隊(duì)還在特斯拉的Kubernetes儀表板上觀察到CPU使用率不是很高。 黑客最有可能配置采礦軟件以保持低使用率以逃避檢測(cè)��。
RedLock CSI團(tuán)隊(duì)立即向特斯拉報(bào)告了這一事件��,并迅速糾正了這個(gè)問題���。
防止這種妥協(xié)
加密貨幣的飛速增長(zhǎng)正促使黑客將注意力從竊取數(shù)據(jù)轉(zhuǎn)移到在公共云環(huán)境中竊取計(jì)算能力����。邪惡的網(wǎng)絡(luò)活動(dòng)正完全被忽視了�。以下是一些可以幫助組織檢測(cè)可疑活動(dòng)的東西,例如在碎片云環(huán)境中進(jìn)行加密挖掘:
監(jiān)控配置:由于DevOps團(tuán)隊(duì)在沒有任何安全監(jiān)督的情況下為生產(chǎn)提供應(yīng)用和服務(wù)��,組織應(yīng)該監(jiān)視風(fēng)險(xiǎn)配置����。這涉及到部署能夠在創(chuàng)建資源時(shí)自動(dòng)發(fā)現(xiàn)資源的工具,確定在資源上運(yùn)行的應(yīng)用程序�,并根據(jù)資源或應(yīng)用程序類型應(yīng)用適當(dāng)?shù)牟呗?。配置監(jiān)控可以幫助特斯拉立即識(shí)別存在未受保護(hù)的Kubernetes控制臺(tái)以暴露他們的環(huán)境�����。
監(jiān)控網(wǎng)絡(luò)流量:通過監(jiān)控網(wǎng)絡(luò)流量并將其與配置數(shù)據(jù)關(guān)聯(lián)起來����,特斯拉可以檢測(cè)到被入侵的Kubernetes pod產(chǎn)生的可疑網(wǎng)絡(luò)流量��。
監(jiān)視可疑用戶行為:在因特網(wǎng)上公開的公共云環(huán)境中查找訪問憑據(jù)并不常見的�����,就像在Uber漏洞中那樣��。組織需要一種方法來檢測(cè)帳戶的妥協(xié)��。這需要基線化正常的用戶活動(dòng)和探測(cè)異常行為�,不僅要識(shí)別地理位置或基于時(shí)間的異常,還要識(shí)別基于事件的異常����。在這種情況下,特斯拉的AWS訪問憑證可能會(huì)被從無保護(hù)的Kubernetes
pod中泄露出去��,隨后被用來進(jìn)行其他不法活動(dòng)。
