黑客入侵“共有云”挖矿,特斯拉服务器遭劫持

2018 年 2 月 22 日 猎云网 机智可爱美

—————————————

文丨猎云网(ilieyun)机智可爱美

1079字,约需3分钟阅读

—————————————

几个月前,RedLock云安全智能(CSI)团队发现了数百个Kubernetes管理控制台,这些控制台可以通过互联网上访问,但没有任何密码保护。

其中一些案例属于英国跨国保险公司英杰华(Aviva)和全球最大的SIM卡制造商金雅拓(Gemalto)。在这些控制台中,可以访问这些组织的亚马逊网络服务(AWS)和Microsoft Azure环境的访问凭据。

经过进一步的调查后,该团队确定黑客已经秘密渗透到这些组织的公共云环境中,并使用计算实例来挖掘加密货币(参阅云安全趋势——2017年10月报告)。

从那时以来,一些其他的隐藏劫持事件被发现,并且在攻击方面存在显著的差异。

在涉及WannaMine恶意软件的案例中,使用名为Mimikatz的工具被用来从计算机的内存中提取凭证,以感染网络上的其他计算机。然后,恶意软件就会使用受感染的计算机来在后台安静地使用名为Monero的加密货币。Mimikatz的使用可确保恶意软件不必依赖于EternalBlue的漏洞,并使其能够在完全修补的系统中逃避检测。

Nikola Tesla以其对现代交流电力(AC)供应系统设计的贡献而闻名,他巧妙地提出:每件事都要经过一段时间的发展。从本质上讲,我们正开始见证密码破解的进化,因为黑客们认识到这些攻击的巨大好处,并开始探索新的变化以逃避侦查。

“这是自相矛盾的,然而,我们知道的越多,我们就越无知,因为只有通过启蒙,我们才意识到自己的局限性。在知识分子进化过程中,最令人满意的结果之一就是不断开拓新的更广阔的前景。”

—Nikola Tesla

最新受害者:特斯拉

RedLock CSI团队的一项新研究显示,最新的密码盗窃受害者是特斯拉。虽然这次攻击与英杰华和金雅图的攻击相似,但也有一些明显的不同。

黑客入侵了特斯拉的Kubernetes控制台,该控制台没有密码保护。在一个Kubernetes pod中,访问凭证暴露在特斯拉的AWS环境中,该环境包含一个亚马逊S3 (Amazon Simple Storage Service)存储桶,该存储桶有一些敏感数据,比如遥测技术。

除了数据曝光之外,黑客还在特斯拉的Kubernetes pod中进行加密挖掘。该小组注意到在这次袭击中使用了一些复杂的规避措施。

不同于其他加密挖掘事件,黑客在这次攻击中没有使用众所周知的公共“矿池”。相反,他们安装了挖掘池软件,并配置了恶意脚本以连接到“未列出”或半公共端点。这使得标准的基于IP/域的威胁情报源很难检测到恶意活动。

黑客还隐藏了CloudFlare背后矿池服务器的真实IP地址,这是一个免费的内容分发网络(CDN)服务。黑客可以通过注册免费的CDN服务来使用新的IP地址。这使得基于IP地址的加密挖掘活动更加具有挑战性。

此外,该挖掘软件被配置为监听一个非标准端口,这使得检测基于端口流量的恶意活动变得困难。

最后,该团队还在特斯拉的Kubernetes仪表板上观察到CPU使用率不是很高。 黑客最有可能配置采矿软件以保持低使用率以逃避检测。

RedLock CSI团队立即向特斯拉报告了这一事件,并迅速纠正了这个问题。

防止这种妥协

加密货币的飞速增长正促使黑客将注意力从窃取数据转移到在公共云环境中窃取计算能力。邪恶的网络活动正完全被忽视了。以下是一些可以帮助组织检测可疑活动的东西,例如在碎片云环境中进行加密挖掘:

监控配置:由于DevOps团队在没有任何安全监督的情况下为生产提供应用和服务,组织应该监视风险配置。这涉及到部署能够在创建资源时自动发现资源的工具,确定在资源上运行的应用程序,并根据资源或应用程序类型应用适当的策略。配置监控可以帮助特斯拉立即识别存在未受保护的Kubernetes控制台以暴露他们的环境。

监控网络流量:通过监控网络流量并将其与配置数据关联起来,特斯拉可以检测到被入侵的Kubernetes pod产生的可疑网络流量。

监视可疑用户行为:在因特网上公开的公共云环境中查找访问凭据并不常见的,就像在Uber漏洞中那样。组织需要一种方法来检测帐户的妥协。这需要基线化正常的用户活动和探测异常行为,不仅要识别地理位置或基于时间的异常,还要识别基于事件的异常。在这种情况下,特斯拉的AWS访问凭证可能会被从无保护的Kubernetes pod中泄露出去,随后被用来进行其他不法活动。

- END -

  推 荐 阅 读  

马云的善心、雷军的决心、程维的野心、傅盛的痴心--大佬们2018年的目标新年升职加薪成长指南

春节档票房首日破13亿:榜首评分仅5.4,红海行动成最大黑马!

未经允许严禁转载

授权请后台回复“猎云网”

登录查看更多
0

相关内容

黑客(Hacker,台湾译作「骇客」)广义上指在计算机科学,编程以及设计领域有高度理解力的人。 然而,人们通常对黑客一词的理解都是取其狭义的涵义,即信息安全领域的黑客: 未经许可入侵他人系统并窃取数据信息等的可以视为 黑帽黑客,也可取侩客 cracker 的涵义。
而主要从事安全检测,系统调试,技术研究的安全从业者可称为 白帽黑客
还有一种存在称为「脚本小子」,往往冒充黑客也常被人误认为是「黑客」,其实是利用一些现有的工具或者程序达到入侵或破解等目的,然而其知识储备以及对技术的理解力却完全不符合广义黑客的标准,甚至不及狭义黑客标准。
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
【ICMR2020】持续健康状态接口事件检索
专知会员服务
17+阅读 · 2020年4月18日
【边缘智能综述论文】A Survey on Edge Intelligence
专知会员服务
120+阅读 · 2020年3月30日
安全和健壮的医疗机器学习综述,附22页pdf
专知会员服务
46+阅读 · 2020年1月25日
最新《分布式机器学习》论文综述最新DML进展,33页pdf
专知会员服务
118+阅读 · 2019年12月26日
最新版本开源情报工具和资源手册(一)
黑白之道
9+阅读 · 2019年6月23日
特斯拉首席设计师150页PPT详解其全自动驾驶芯片
智能交通技术
14+阅读 · 2019年5月1日
ZigBee 网络安全攻防
计算机与网络安全
13+阅读 · 2019年4月15日
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
Music Transformer
Arxiv
5+阅读 · 2018年12月12日
Arxiv
14+阅读 · 2018年4月18日
Arxiv
7+阅读 · 2018年1月30日
VIP会员
相关资讯
Top
微信扫码咨询专知VIP会员