Kubernetes Cryptomining Nasıl Bir AWS Bulut Veri Soygunu Haline Geldi?



Savunmasız bir Kubernetes konteyneri ve gevşek izinler, bir saldırganın fırsatçı bir cryptojacking saldırısını fikri mülkiyeti ve hassas verileri hedefleyen geniş kapsamlı bir izinsiz girişe dönüştürmesine olanak sağladı.

Bulut güvenlik firması Sysdig’in “SCARLETEEL” olarak adlandırdığı saldırı, bir tehdit aktörünün bir Kubernetes kümesinden yararlanarak geçici kimlik bilgileri elde etmek için dahili bir hizmet kullanması ve ardından bu kimlik bilgilerini diğer Elastic Compute Cloud (EC2) hizmetlerini numaralandırmak için kullanması ile başladı. hedeflenen şirketin altyapısında dağıtıldı. Sonunda, bugün yayınlanan olay raporunda adı geçmeyen şirket, çalınan kimlik için izinlerin kapsamını uygun şekilde sınırlandırdı ve bu da saldırıyı köreltti.

Ancak Sysdig’de tehdit araştırmaları direktörü Michael Clark, olay, şirketlerin bulut kaynaklarının birbirleriyle etkileşime girmesine izin veren kontrolleri yapılandırırken dikkatli olmaları gerektiğinin altını çiziyor.

“Diğer kaynaklara erişebilmek için EC2 rollerine sahip olmak yaygın olabilir, ancak genellikle bunun gibi olayları önlemek için sıkı bir şekilde kapsam dahilindedir” diyor. “Daha çok, bunun gibi yanlış yapılandırmaların diğer sorunlarla nasıl birleşerek daha büyük bir ihlale yol açabileceğini anlamakla ilgili.”

Sofistike siber saldırı, saldırganların bulut altyapısını giderek daha iyi yöntemlerle hedef aldığını da gösteriyor. Geçmişte tehdit aktörleri, cryptojacking yazılımı dağıtmak gibi bulut hizmetleriyle ilkel etkileşime odaklanmıştı, ancak işletmelerin kendi ortamlarında ortaya çıkardığı güvenlik açıklarını anladıkça bulut odaklı saldırılar daha popüler hale geliyor.

Aslında, siber güvenlik hizmetleri şirketi CrowdStrike, 28 Şubat’ta yayınladığı son yıllık “Küresel Tehdit Raporu”nda, gözlemlenen bulut istismar vakalarının 2022’de neredeyse ikiye katlandığını, tehdit aktörlerinin bulut kaynaklarıyla etkileşime girdiği olayların sayısının ise neredeyse üç katına çıktığını belirtti.

CrowdStrike istihbarat başkanı Adam Meyers, “Bulutta nasıl çalışacaklarını anlamaları biraz zaman aldı” diyor. “Kuruluşların bulut güvenliklerine ciddi bir şekilde bakmaları gerekiyor, çünkü bulut güvenli bir şekilde geliyor, ancak insanlar onu çalıştırıp değiştirdikçe, onu daha az güvenli hale getiriyorlar.”

Küçükten Büyüğe Güvenlik İhlalinden

Saldırgan, kapsayıcılı uygulamaları yönetmek ve devreye almak için kullanılan bir teknoloji olan bir Kubernetes bölmesine erişime izin veren, internete açık savunmasız bir hizmet aracılığıyla hedefin bulut altyapısını tehlikeye attı. Saldırgan, kümeye girdikten sonra, kripto para madenciliği yapmak için esas olarak kurbanın bulut altyapısından işlem kapasitesini çalan kripto hırsızlığı yazılımına sahip kapları dağıtmak için erişimi kullandı.

Sysdig araştırmacıları analizlerinde “Bu, otomatikleştirilmiş konteyner tehditlerinde yaygın bir uygulamadır” diyerek, saldırganların “bulutta numaralandırma yapmak, hassas bilgileri aramak ve özel mülk yazılımları çalmak için bu rolü kullandıklarını” da sözlerine ekledi.

Saldırganlar, EC2 hizmetleri, Lambda sunucusuz işlevlere bağlanma ve Terraform olarak bilinen sürekli entegrasyon ve sürekli dağıtım (CI/CD) hizmetini kullanma dahil olmak üzere AWS bulutunda nasıl hareket edecekleri konusunda bilgi sahibiydi. Terraform genellikle işlem hattının durumunu Basit Depolama Hizmeti (S3) klasörlerine kaydettiğinden, saldırgan bu dosyaları almayı ve düz metin verilerinde en az bir ek kimlik bilgisi bulmayı başardı.

Ancak Sysdig, analizinde ikinci kimliğin sınırlı izinlere sahip olduğunu ve saldırganın yanal hareketini durdurduğunu belirtti. Clark, bu arada, saldırganın kullanıcıları ve bulut altyapısını numaralandırma girişimlerinin tespit edilmesine yol açtığını söylüyor.

“Özellikle bu tür taleplerde bulunmaması gereken rollerden kaynaklanan anormal miktarda AWS eylemi tarafından yakalandı” diyor. “Tehdit istihbaratı yönü var. [too] — söz konusu olan bazı IP adresleri geçmişte kötü amaçlı etkinliklerle ilişkilendirilmiştir.”

Yanlış Yapılandırma, MFA Eksikliği Değil

Saldırının çıkarımları? Birincisi, şirketlerin bulut altyapılarının işleyişine ve telemetrisine ilişkin iyi bir görünürlüğe sahip olduklarından emin olmaları gerekir. Ek olarak, erişimi sınırlandırmak – hatta belirli bulut kaynaklarına salt okunur erişim atamak – devam eden bir saldırıyı durdurmada büyük fark yaratabilir. Sysdig’e göre, saldırganlar çalınan kimlikleri kullanarak kaynaklara ne kadar çok saldırırsa, onları tespit etme şansı o kadar artar.

Araştırmacılar, “İlk olarak, sıfır güven ve en az ayrıcalık ilkesi önemlidir ve bunları uygularsanız uzlaşma olasılığını azaltacaksınız” diye yazdı. “İkincisi, güçlü tespitler ve uyarılar, bir saldırgan çok derine inmeden bu faaliyetleri yakalamanıza yardımcı olacaktır.”

Clark ayrıca, saldırganların yararlandığı bulut kimliklerinin çoğu makine kimlikleri olduğundan, çok faktörlü kimlik doğrulama (MFA) teknolojilerinin bulut altyapısı saldırılarını köreltmede büyük olasılıkla büyük bir fark yaratmayacağına işaret ediyor – bu nedenle, alternatif korumaların devreye alınması gerekiyor yer.

Clark, “MFA, ilgili diğer hesapların erişimlerini engellemelerine yardımcı olmuş olabilir,” diyor, “ancak bunlar, bir kişi tarafından oturum açılması beklenen hesaplar yerine otomasyon amacıyla oluşturulmuş dahili hesaplardı.”



Source link