Oblak na udaru: Hekerji izkoristili napačno konfigurirane AWS .env datoteke za obsežne napade
Napadalci so izkoristili izpostavljene okoljske spremenljivke v napačnih konfiguracijah AWS .env datotek, da so zaklenili podatke, shranjene v S3 vsebnikih. S pomočjo avtomatizacije so ciljali na več kot 100.000 domen.
Varnostni neuspehi opozarjajo na pomembnost robustne avtentikacije
Njihov uspeh je bil posledica več varnostnih neuspehov uporabnikov oblaka, vključno z uporabo dolgoročnih poverilnic in pomanjkanja arhitekture z najmanjšimi privilegiji. Ti primeri poudarjajo pomembnost robustne avtentikacije in nadzorov dostopa, šifriranja podatkov, varnega upravljanja konfiguracije ter celovitega spremljanja in beleženja v oblačnih okoljih za zmanjšanje takšnih napadov.
Sprva so napadalci pridobili dostop do okolj AWS organizacij in nato pregledali več kot 230 milijonov edinstvenih ciljev za občutljive podatke. Osredotočili so se na 110.000 domen in pridobili več kot 90.000 edinstvenih spremenljivk iz .env datotek, med katerimi je bilo 7.000 povezanih z oblačnimi storitvami in 1.500 povezanih z računi na družbenih omrežjih.
Večplastna infrastruktura omogočila učinkovitost napadov
Z uporabo večplastne infrastrukture so napadalci izkoristili VPS končne točke, omrežje Tor in VPN za izvidovanje, začetni dostop, lateralno premikanje in iztovor podatkov.
Igralci groženj izkoriščajo široko izpostavljenost .env datotek za pridobitev nepooblaščenega dostopa do občutljivih informacij. Te datoteke vsebujejo pogosto trdo kodirane poverilnice in javno gostujejo na nezavarovanih spletnih aplikacijah, zaradi česar so lahke tarče za napadalce.
Amazon Web Services in pomanjkljiva varnost
Nedavne kampanje so pokazale učinkovitost te tehnike, saj so napadalci uspešno pridobili dostopne ključe AWS IAM iz izpostavljenih .env datotek. Napadalci so izkoristili te poverilnice, da so pridobili začetni dostop do oblačnih okolij žrtev.
Na žalost niso imeli skrbniki dostopa do vseh virov, kar je napadalcem omogočilo stopnjevanje njihovih privilegijev. Z izkoriščanjem dovoljenja za ustvarjanje in spreminjanje IAM vlog in politik so ustanovili nove IAM vire z neomejenim dostopom.
Pred stopnjevanjem svojih privilegijev so napadalci uporabili GetCallerIdentity API za preverjanje identitete in dovoljenj, povezanih s kompromitiranimi poverilnicami.
Raba AWS API zahteva in Lambda funkcij
Sprva so uporabili AWS API zahteve ListUsers in ListBuckets za zbiranje informacij o ciljnem AWS računu. Nato so stopnjevali svoje privilegije z ustvarjanjem nove IAM vloge z AdministratorAccess in jo priložili vlogi.
Čeprav jim ni uspelo ustvariti infrastrukture skladov EC2, so uspešno ustvarili AWS Lambda funkcije z uporabo API klica CreateFunction20150331, ki so jih uporabili za izvajanje bash skripte, ki je iskala morebitne cilje v računu.
Ozaveščanje o tveganjih in najboljših praksah za varnost v oblaku
Kampanja za izsiljevanje v oblaku poudarja tveganja, povezana z zanemarjanjem najboljših praks za varnost v oblaku. Izpostavljene .env datoteke, ki vsebujejo občutljive informacije, kot so API ključi in poverilnice, lahko izkoristijo zlonamerni akterji.
Za zmanjšanje teh tveganj bi se organizacije morale izogibati shranjevanju .env datotek v sistem za nadzor različic, uporabljati okoljske spremenljivke, izvajati robustne nadzore dostopa, izvajati redne revizije in uporabljati orodja za upravljanje skrivnosti.
Analiza kampanje
Analiza kampanje, ki jo je izvedel Cyble je razkrila potencialne indikatorje kompromisa (IOC) v različnih kategorijah. En sam URL, povezan z lambda funkcijo, se morda zdi neškodljiv. Vendar je bilo označeno znatno število IP naslovov, med njimi Tor exit točke, VPS končne točke in VPN končne točke.
Ti IP naslovi sugerirajo, da kampanja morda izkorišča anonimne storitve in kompromitirane strežnike, da prikrije svoj izvor in dejavnost. Poleg tega je bil identificiran SHA256 hash za skripto z imenom Lambda.sh, ki se lahko uporabi za nadaljnjo preiskavo.
Vir novice: cyberpress.org
