新的云威胁!黑客利用云技术窃取数据和源代码
新的云威胁!黑客利用云技术窃取数据和源代码
本文作者:Zhuolin, 转载请注明来自FreeBuf.COM
Zhuolin 2023-03-01 14:16:53 41733
一个被称为 "SCARLETEEL "的高级黑客行动针对面向公众的网络应用,其主要手段是渗透到云服务中以窃取敏感数据。
SCARLETEEL是由网络安全情报公司Sysdig在应对客户的云环境事件时发现的。
虽然攻击者在受感染的云环境中部署了加密器,但黑客在AWS云机制方面表现出更专业的技术,进一步钻入该公司的云基础设施。
Sysdig认为,加密劫持攻击仅仅是一个诱饵,而攻击者的目的是窃取专利软件。
SCARLETEEL攻击
SCARLETEEL攻击开始时,黑客利用了托管在亚马逊网络服务(AWS)上的Kubernetes集群中面向公众的服务。
一旦攻击者访问容器,他们就会下载一个XMRig coinminer(被认为是诱饵)和一个脚本,从Kubernetes pod中提取账户凭证。
然后,被盗的凭证被用来执行AWS API调用,通过窃取进一步的凭证或在公司的云环境中创建后门来获得持久性。然后这些账户被用来在云环境中进一步传播。
根据AWS集群的角色配置,攻击者还可能获得Lambda信息,如功能、配置和访问密钥。
攻击者执行的命令
接下来,攻击者使用Lambda函数枚举和检索所有专有代码和软件,以及执行密钥和Lambda函数环境变量,以找到IAM用户凭证,并利用它们进行后续枚举和特权升级。
S3桶的枚举也发生在这一阶段,存储在云桶中的文件很可能包含对攻击者有价值的数据,如账户凭证。
Sysdig的报告中说:"在这次特定的攻击中,攻击者能够检索和阅读超过1TB的信息,包括客户脚本、故障排除工具和日志文件。这1TB的数据还包括与Terraform有关的日志文件,Terraform在账户中被用来部署部分基础设施。这些Terraform文件将在后面的步骤中发挥重要作用,也就是攻击者可能转到另一个AWS账户"。
SCARLETEEL攻击链
为了尽量减少留下的痕迹,攻击者试图禁用被攻击的AWS账户中的CloudTrail日志,这对Sysdig的调查产生了不小的困难。
然而,很明显,攻击者从S3桶中检索了Terraform状态文件,其中包含IAM用户访问密钥和第二个AWS账户的密钥。这个账户被用来在该组织的云计算中进行横移。
由TruffleHog发现的Terraform秘密
基于云的基础设施安全
随着企业越来越依赖云服务来托管他们的基础设施和数据,黑客们也在与时俱进,成为API和管理控制台方面的专家,继续他们的攻击。
SCARLETEEL攻击证明,企业在云环境中的任何一个薄弱点都足以让攻击者利用它进行网络渗透和敏感数据盗窃,当然这些攻击者可能技术更高。
Sysdig建议企业采取以下安全措施,以保护其云基础设施免受类似攻击:
- 及时更新你所有的软件
- 使用IMDS v2而不是v1,这可以防止未经授权的元数据访问
- 对所有用户账户采用最小特权原则
- 对可能包含敏感数据的资源进行只读访问,如Lambda
- 删除旧的和未使用的权限
- 使用密钥管理服务,如AWS KMS、GCP KMS和Azure Key Vault
Sysdig还建议实施一个全面的检测和警报系统,以确保及时报告攻击者的恶意活动,即使他们绕过了保护措施。
参考链接:https://www.bleepingcomputer.com/news/security/scarleteel-hackers-use-advanced-cloud-skills-to-steal-source-code-data/
本文作者:Zhuolin, 转载请注明来自FreeBuf.COM
新的云威胁!黑客利用云技术窃取数据和源代码相关推荐
- 利用WinPcap技术捕获数据包
前言 随着网络入侵的不断发展,网络安全变得越来越重要,于是网络入侵取证系统的研究也变得日益重要.在网络入侵取证系统中,对网络上传送的数据包进行有效的监听即捕获包是目前取证的关键技术,只有进行高效的数 ...
- 黑客利用智能灯泡窃取用户数据!
研究人员发现,有的灯泡能够把个人设备中的隐私数据泄漏出来,并且可以通过远程记录其亮度模式来泄漏多媒体偏好. 为了使光源成为攻击面,它们需要满足一些要求,例如支持多媒体可视化和红外功能.攻击者不需要攻击 ...
- 爬虫侵入计算机系统,【探讨】利用“爬虫技术”获取数据行为的刑事考量 ——以一起非法获取计算机信息系统数据案为例...
在本案中最为主要的争议焦点是"公开的信息"是否属于非法获取计算机信息系统数据中的犯罪对象.非法获取计算机信息系统数据罪的保护法益是计算机信息系统安全和数据安全.那么信息是否等同于数 ...
- 【云函数】 利用云函数SCF完成每日一封邮件的发送
前言: 从我上一篇文章开始说起<通过Linux计划任务每天定时自动发送天气预报给女神>,很惊喜我写的第一篇文章就能获得一千多次阅读,这篇文章算是对上一篇的另一种实现形式:上篇文章开篇表明了 ...
- 【Java】云E办项目后端技术栈整合及代码阅读
项目来源:Bilibili:带你从0搭建一个springboot+vue前后端分离的java项目 源码地址:https://github.com/Jimecc/yeb 本项目的后端部分我已经完整的部署 ...
- 新技能Get:如何利用HTTP技术提升网页的加载速度
在这个信息爆炸的时代,使用移动终端获取新鲜信息已经是大势所趋,但是移动网页浏览速度还有巨大的提升空间.据 Strangeloop Networks 统计,在同样的网络条件下,使用移动端访问相同网页平均 ...
- 【Linux】(12)计划任务:来看看如何防止黑客利用计划任务窃取信息以及背后的原理
目录 一.计划任务 1.1 [导入]游戏服务器资源分析 1.2 为什么需要计划任务 1.3 Linux里的计划任务 1.4 创建计划任务 1.4.1 cron命令格式 1.4.2 时间数值的表示方法 ...
- 逆向进阶,利用 AST 技术还原 JavaScript 混淆代码
文章目录 什么是 AST AST 在编译中的位置 词法分析 语法分析 代码生成 Babel 简介 @babel/core @babel/parser @babel/generator @babel/t ...
- Spring Boot项目利用MyBatis Generator进行数据层代码自动生成
概 述 MyBatis Generator (简称 MBG) 是一个用于 MyBatis和 iBATIS的代码生成器.它可以为 MyBatis的所有版本以及 2.2.0之后的 iBATIS版本自动生成 ...
最新文章
- 栈和队列的区别 | 每日趣闻
- 【SmartJob】配置看护任务
- 【Python】 文件和操作文件方法
- 计算机的硬件发展趋势为,高性能计算机的发展趋势
- Vue项目中使用图片裁切器 cropperjs (头像裁切)
- 分页输入框跳转 java_displaytag 分页-添加页码输入框跳转至指定页
- linux常见命令用法之(二)
- NB-IoT的优势是什么?
- Android柠檬水面试题,柠檬水的饮料摊(面试案例)
- 你来分我先选 原则
- Python参考文献
- 蓝牙无线自制串口模块连接穿越机配置工具
- Oracle笔记 - unfinished
- 天网系统服务器码,天网管理系统
- MvvmLazy Android懒人框架
- 任务四:Crypto学习
- 【学习笔记】arduino mega2560 和 ESP8266WIFI模块 联合调试 ①
- RFID射频卡、IC卡、ID卡在称重系统中有什么作用
- 【多载波系统】基于多载波系统分析等比合并EGC,最大比合并MRC,正交恢复合并ORC以及最小均方误差合并MMSE的matlab仿真
- 一文搞定:SpringBoot、SLF4j、Log4j、Logback、Netty之间混乱关系(史上最全)
热门文章
- 2020Java初级面试题一数据库
- 第1章:JVM与Java体系结构
- 大数据(041)机器学习【多元线性回归实例】
- 云栖大会|小米大数据运维管理体系的建设与实践
- Python读取雷达位姿数据方案二
- 2020全国大学生数学建模A题思路讲解与核心代码
- ios开发防止App被抓包(一句话实现iOS应用底层所有网络请求拦截(如ajax请求拦截),包含http-dns解决方法,有效防止DNS劫持,用于分析http,https请求,禁用/允许代理,防抓包)
- 冬意正浓-2018年终总结
- 《楚留香》平民华山秘籍推荐及各种秘籍获取方法
- html设置字体仿宋GB2312,Word怎么设置仿宋体显示为仿宋GB2312字体?