Trend Micro’daki siber güvenlik uzmanları, yakın zamanda bilgisayar korsanlarının kimlik bilgilerini çalmak için Amazon Web Services (AWS) EC2 iş yüklerine aktif olarak saldırdığını tespit etti.
Bilgisayar korsanları, bu aracı kullanarak, erişim anahtarları ve belirteçler gibi temel verileri sızdırma olanağı elde eder.
Bu durumda, bilgisayar korsanları çalınan verileri kontrolleri altındaki bir alana gönderdi. AWS’nin sahip olduğu etki alanında, amazonaws.com bu görevi gerçekleştirmek için tehdit aktörleri yazım denetimi adı verilen tekniği kullandı.
Saldırı Akışı
Daha önce, özellikle Weave Scope’un kötüye kullanılmasıyla meşru araçların kötü amaçlarla kötüye kullanıldığına dair bir rapor vardı.
Saldırganın, TeamTNT gibi tehdit aktörlerinin kullandığı yaygın bir uygulama olan bu girişim sırasında araştırmacılar tarafından yerleştirilen bal küpüne erişim sağlamak için açıkta kalan bir Docker REST API sunucusunu kullandığı belirlendi.
Kapsayıcı içinde, saldırganlar ana bilgisayarın kök dizinini yola yerleştirdi ana bilgisayardaki temel ana bilgisayarın kök dizinine karşılık gelen kapsayıcıda.
Bu durumda, oluşturma prosedürü sırasında kapsayıcı tarafından yürütülmesi gereken herhangi bir komut yerine, init.sh adlı bir komut dosyası yürütüldü.
Bildirilen iki değişken varken burada onlardan bahsettik: –
- SCOPE_SH, Weave Scope’u yükleyen Base64 kodlu bir dize
- WS_TOKEN, ana bilgisayarları filolara dahil etmek için kullanılabilecek gizli bir erişim belirteci
Komut dosyasının işlevleri
Komut dosyasını analiz ettikten sonra, siber güvenlik analistleri bu komut dosyası tarafından sunulan beş temel işlev olduğu sonucuna vardılar. Bu işlevler çoğunlukla saldırganlar tarafından çeşitli uygulama ve dağıtım türleri için saldırılar sırasında kullanılır.
Aşağıda betiğin sunduğu 5 temel işlevden bahsettik: –
- ana
- wssetup
- kontrol anahtarı
- endişeli
- menzil taraması
Alan analizi
Etki alanını çözmek için, saldırganlar tarafından kullanılan IP adresleri, TeamTNT tehdit grubuyla aşağıdaki etki alanları arasındaki güçlü bağlantıyı gösterir:-
- amazon2aws[.]com
- teamtnt[.]kırmızı
Siber suçluların cephaneliklerini sürekli olarak keskinleştirdiği, meşru amaçlara yönelik araçları ve platformları test ettiği, geliştirdiği ve kötüye kullandığı bir sır değil.
Bulut platformlarının birçok şirket tarafından benimsenmesi, saldırganların bulutta bulunan hizmetlerden yararlanmak için kötü amaçlı araçlar oluşturmasını gerektirdi.
- Savunucu olma açısından, aşağıdaki noktaları aklımızda tutmamız önemlidir:-
- Saldırganların sisteme giriş yaptıktan sonra neyi hedeflediklerini bilmek zorunludur.
- Bunları devre dışı bırakmak için kullanılması gereken birkaç yöntem vardır.
- Silahsızlandırılmaları için bir takım yöntemler olması gerekir.
- Farklı güvenlik prosedürleri kullanarak tehditlerin kaldırılması.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin