从Tesla被Cryptojacking攻击中学到的教训


【编者的话】Cryptojacking就是劫持用户的设备,例如个人笔记本的CPU或其他处理器进行挖矿,或者更准确点说是在受害者不知情的前提下,使用受害者的计算设备来挖取数字货币。近期已经有多家公司企业中招,Tesla就是其中之一。在被Cryptojacking攻击中我们学到了什么,我们应该如何防范于未然呢?且看下文分析。

几个月前,RedLock云安全智能(CSI)团队发现可通过互联网访问数百个Kubernetes管理控制台,而它们无需任何密码保护。

其中一些案例属于英国跨国保险公司Aviva和全球最大的SIM卡制造商Gemalto。 在这些控制台中,这些组织的亚马逊网络服务(AWS)和Microsoft Azure环境的访问凭证已被公开。 经过进一步调查,该团队确定黑客已经秘密渗透进入这些组织的公共云服务器环境,并使用计算实例来挖掘加密货币请参阅云安全趋势——2017年10月报告)。

从那以后,其他一些隐藏劫持事件相继被揭露,而且在攻击方面存在显着差异。 在涉及WannaMine的恶意软件案例中,使用叫做“Mimikatz”的工具从计算机的内存中提取凭证,用以感染网络上的其他计算机。 然后恶意软件使用受感染的计算机在后台安静地挖掘名为Monero的加密货币。 使用Mimikatz可确保恶意软件不必依赖EternalBlue漏洞,并使其能够在完全修补的系统中逃避检测。

Nikola Tesla以其对现代交流(AC)电力供应系统设计的贡献而闻名,他巧妙地提出:每件事都要经过一段时间的发展。从本质上讲,我们正开始见证密码破解的进化,因为黑客们认识到这些攻击的巨大好处,并开始探索新的变化以逃避侦查。


“这是自相矛盾的,然而,我们知道的越多,我们就越无知。因为只有通过启蒙,我们才意识到自己的局限性。在知识分子进化过程中,最令人满意的结果之一就是不断开拓新的更广阔的前景。”
——Nikola Tesla

最近的受害者:Tesla

RedLock CSI团队的一项新研究显示,最新的密码盗窃受害者是Tesla。虽然这次攻击与Aviva和Gemalto的攻击相似,但也有一些明显的不同。黑客入侵了Tesla的Kubernetes控制台,该控制台没有密码保护。在一个Kubernetes Pod中,访问凭证暴露在Tesla的AWS环境中,该环境包含一个亚马逊S3 (Amazon Simple Storage Service)存储桶,该存储桶有一些敏感数据,比如遥测技术。
2.png

图1:暴露在AWS环境中的凭证

除了数据曝光之外,黑客还在Tesla的Kubernetes Pod中进行加密挖掘。该小组注意到在这次攻击中使用了一些复杂的防范措施。
  • 不同于其他加密挖掘事件,黑客在这次攻击中没有使用众所周知的公共“矿池”。相反,他们安装了挖掘池软件,并配置了恶意脚本以连接到“未列出”或半公共端点。这使得标准的基于IP/domain的威胁情报源很难检测到恶意活动。
  • 黑客还隐藏了CloudFlare背后矿池服务器的真实IP地址,这是一个免费的内容分发网络(CDN)服务。黑客可以通过注册免费的CDN服务来使用新的IP地址。这使得基于IP地址的加密挖掘活动更加具有挑战性。
  • 此外,该挖掘软件被配置为监听一个非标准端口,这使得检测基于端口流量的恶意活动变得困难。
  • 最后,该团队还在Tesla的Kubernetes仪表板上观察到CPU使用率不是很高。 黑客最有可能配置采矿软件以保持低使用率以逃避检测。


RedLock CSI团队立即向Tesla报告了这一事件,并迅速纠正了这个问题。
3.png

图2:在Tesla的Kubernetes pod中运行的Crypto挖掘脚本

防范于未然

加密货币的飞速增长正促使黑客将注意力从窃取数据转移到在公共云环境中窃取计算能力。邪恶的网络活动正完全被忽视了。以下是一些可以帮助组织检测可疑活动的东西,例如在碎片云环境中进行加密挖掘:
  • 监控配置:由于DevOps团队在没有任何安全监督的情况下为生产提供应用和服务,组织应该监视风险配置。这涉及到部署能够在创建资源时自动发现资源的工具,确定在资源上运行的应用程序,并根据资源或应用程序类型应用适当的策略。配置监控可以帮助Tesla立即识别存在未受保护的Kubernetes控制台以暴露他们的环境。

  • 监控网络流量:通过监控网络流量并将其与配置数据关联起来,Tesla可以检测到被入侵的Kubernetes Pod产生的可疑网络流量。
    4.png

    图3:显示比特币挖掘流量检测的RedLock平台

  • 监视可疑用户行为:在因特网上公开的公共云环境中查找访问凭据是并不常见的,就像在Uber漏洞中那样。组织需要一种方法来检测帐户的妥协。这需要基线化正常的用户活动和探测异常行为,不仅要识别地理位置或基于时间的异常,还要识别基于事件的异常。在这种情况下,Tesla的AWS访问凭证可能会被从无保护的Kubernetes Pod中泄露出去,随后被用来进行其他不法活动。


5.png

图4:显示异常用户活动检测的RedLock平台

原文链接:cryptojacking-tesla(翻译:ylzhang)

0 个评论

要回复文章请先登录注册