几个月前,RedLock云安全智能(CSI)团队发现了数百个Kubernetes管理控制台,这些控制台可以通过互联网上访问,但没有任何密码保护。
其中一些案例属于英国跨国保险公司英杰华(Aviva)和全球最大的SIM卡制造商金雅拓(Gemalto)。在这些控制台中,可以访问这些组织的亚马逊网络服务(AWS)和Microsoft Azure环境的访问凭据。
经过进一步的调查后,该团队确定黑客已经秘密渗透到这些组织的公共云环境中,并使用计算实例来挖掘加密货币(参阅云安全趋势——2017年10月报告)。
从那时以来,一些其他的隐藏劫持事件被发现,并且在攻击方面存在显著的差异。
在涉及WannaMine恶意软件的案例中,使用名为Mimikatz的工具被用来从计算机的内存中提取凭证,以感染网络上的其他计算机。然后,恶意软件就会使用受感染的计算机来在后台安静地使用名为Monero的加密货币。Mimikatz的使用可确保恶意软件不必依赖于EternalBlue的漏洞,并使其能够在完全修补的系统中逃避检测。
Nikola Tesla以其对现代交流电力(AC)供应系统设计的贡献而闻名,他巧妙地提出:每件事都要经过一段时间的发展。从本质上讲,我们正开始见证密码破解的进化,因为黑客们认识到这些攻击的巨大好处,并开始探索新的变化以逃避侦查。
“这是自相矛盾的,然而,我们知道的越多,我们就越无知,因为只有通过启蒙,我们才意识到自己的局限性。在知识分子进化过程中,最令人满意的结果之一就是不断开拓新的更广阔的前景。”
—Nikola Tesla
最新受害者:特斯拉
RedLock CSI团队的一项新研究显示,最新的密码盗窃受害者是特斯拉。虽然这次攻击与英杰华和金雅图的攻击相似,但也有一些明显的不同。
黑客入侵了特斯拉的Kubernetes控制台,该控制台没有密码保护。在一个Kubernetes pod中,访问凭证暴露在特斯拉的AWS环境中,该环境包含一个亚马逊S3 (Amazon Simple Storage Service)存储桶,该存储桶有一些敏感数据,比如遥测技术。
除了数据曝光之外,黑客还在特斯拉的Kubernetes pod中进行加密挖掘。该小组注意到在这次袭击中使用了一些复杂的规避措施。
不同于其他加密挖掘事件,黑客在这次攻击中没有使用众所周知的公共“矿池”。相反,他们安装了挖掘池软件,并配置了恶意脚本以连接到“未列出”或半公共端点。这使得标准的基于IP/域的威胁情报源很难检测到恶意活动。
黑客还隐藏了CloudFlare背后矿池服务器的真实IP地址,这是一个免费的内容分发网络(CDN)服务。黑客可以通过注册免费的CDN服务来使用新的IP地址。这使得基于IP地址的加密挖掘活动更加具有挑战性。
此外,该挖掘软件被配置为监听一个非标准端口,这使得检测基于端口流量的恶意活动变得困难。
最后,该团队还在特斯拉的Kubernetes仪表板上观察到CPU使用率不是很高。 黑客最有可能配置采矿软件以保持低使用率以逃避检测。
RedLock CSI团队立即向特斯拉报告了这一事件,并迅速纠正了这个问题。
防止这种妥协
加密货币的飞速增长正促使黑客将注意力从窃取数据转移到在公共云环境中窃取计算能力。邪恶的网络活动正完全被忽视了。以下是一些可以帮助组织检测可疑活动的东西,例如在碎片云环境中进行加密挖掘:
监控配置:由于DevOps团队在没有任何安全监督的情况下为生产提供应用和服务,组织应该监视风险配置。这涉及到部署能够在创建资源时自动发现资源的工具,确定在资源上运行的应用程序,并根据资源或应用程序类型应用适当的策略。配置监控可以帮助特斯拉立即识别存在未受保护的Kubernetes控制台以暴露他们的环境。
监控网络流量:通过监控网络流量并将其与配置数据关联起来,特斯拉可以检测到被入侵的Kubernetes pod产生的可疑网络流量。
监视可疑用户行为:在因特网上公开的公共云环境中查找访问凭据并不常见的,就像在Uber漏洞中那样。组织需要一种方法来检测帐户的妥协。这需要基线化正常的用户活动和探测异常行为,不仅要识别地理位置或基于时间的异常,还要识别基于事件的异常。在这种情况下,特斯拉的AWS访问凭证可能会被从无保护的Kubernetes pod中泄露出去,随后被用来进行其他不法活动。