應用

技術

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點新聞
企業(yè)注冊個人注冊登錄

特斯拉也成為受害者:黑客入侵“共有云”挖礦

2018-02-24 14:46 獵云網(wǎng)

導讀:在涉及WannaMine惡意軟件的案例中,使用名為Mimikatz的工具被用來從計算機的內存中提取憑證,以感染網(wǎng)絡上的其他計算機。然后,惡意軟件就會使用受感染的計算機來在后臺安靜地使用名為Monero的加密貨幣。Mimikatz的使用可確保惡意軟件不必依賴于EternalBlue的漏洞,并使其能夠在完全修補的系統(tǒng)中逃避檢測。

  幾個月前,RedLock云安全智能(CSI)團隊發(fā)現(xiàn)了數(shù)百個Kubernetes管理控制臺,這些控制臺可以通過互聯(lián)網(wǎng)上訪問,但沒有任何密碼保護。

  其中一些案例屬于英國跨國保險公司英杰華(Aviva)和全球最大的SIM卡制造商金雅拓(Gemalto)。在這些控制臺中,可以訪問這些組織的亞馬遜網(wǎng)絡服務(AWS)和Microsoft Azure環(huán)境的訪問憑據(jù)。

  經(jīng)過進一步的調查后,該團隊確定黑客已經(jīng)秘密滲透到這些組織的公共云環(huán)境中,并使用計算實例來挖掘加密貨幣(參閱云安全趨勢——2017年10月報告)。

  從那時以來,一些其他的隱藏劫持事件被發(fā)現(xiàn),并且在攻擊方面存在顯著的差異。

  在涉及WannaMine惡意軟件的案例中,使用名為Mimikatz的工具被用來從計算機的內存中提取憑證,以感染網(wǎng)絡上的其他計算機。然后,惡意軟件就會使用受感染的計算機來在后臺安靜地使用名為Monero的加密貨幣。Mimikatz的使用可確保惡意軟件不必依賴于EternalBlue的漏洞,并使其能夠在完全修補的系統(tǒng)中逃避檢測。

  Nikola Tesla以其對現(xiàn)代交流電力(AC)供應系統(tǒng)設計的貢獻而聞名,他巧妙地提出:每件事都要經(jīng)過一段時間的發(fā)展。從本質上講,我們正開始見證密碼破解的進化,因為黑客們認識到這些攻擊的巨大好處,并開始探索新的變化以逃避偵查。

  “這是自相矛盾的,然而,我們知道的越多,我們就越無知,因為只有通過啟蒙,我們才意識到自己的局限性。在知識分子進化過程中,最令人滿意的結果之一就是不斷開拓新的更廣闊的前景。”—Nikola Tesla

  最新受害者:特斯拉

  RedLock CSI團隊的一項新研究顯示,最新的密碼盜竊受害者是特斯拉。雖然這次攻擊與英杰華和金雅圖的攻擊相似,但也有一些明顯的不同。

  黑客入侵了特斯拉的Kubernetes控制臺,該控制臺沒有密碼保護。在一個Kubernetes pod中,訪問憑證暴露在特斯拉的AWS環(huán)境中,該環(huán)境包含一個亞馬遜S3 (Amazon Simple Storage Service)存儲桶,該存儲桶有一些敏感數(shù)據(jù),比如遙測技術。

  除了數(shù)據(jù)曝光之外,黑客還在特斯拉的Kubernetes pod中進行加密挖掘。該小組注意到在這次襲擊中使用了一些復雜的規(guī)避措施。

  不同于其他加密挖掘事件,黑客在這次攻擊中沒有使用眾所周知的公共“礦池”。相反,他們安裝了挖掘池軟件,并配置了惡意腳本以連接到“未列出”或半公共端點。這使得標準的基于IP/域的威脅情報源很難檢測到惡意活動。

  黑客還隱藏了CloudFlare背后礦池服務器的真實IP地址,這是一個免費的內容分發(fā)網(wǎng)絡(CDN)服務。黑客可以通過注冊免費的CDN服務來使用新的IP地址。這使得基于IP地址的加密挖掘活動更加具有挑戰(zhàn)性。

  此外,該挖掘軟件被配置為監(jiān)聽一個非標準端口,這使得檢測基于端口流量的惡意活動變得困難。

  最后,該團隊還在特斯拉的Kubernetes儀表板上觀察到CPU使用率不是很高。 黑客最有可能配置采礦軟件以保持低使用率以逃避檢測。

  RedLock CSI團隊立即向特斯拉報告了這一事件,并迅速糾正了這個問題。

  防止這種妥協(xié)

  加密貨幣的飛速增長正促使黑客將注意力從竊取數(shù)據(jù)轉移到在公共云環(huán)境中竊取計算能力。邪惡的網(wǎng)絡活動正完全被忽視了。以下是一些可以幫助組織檢測可疑活動的東西,例如在碎片云環(huán)境中進行加密挖掘:

  監(jiān)控配置:由于DevOps團隊在沒有任何安全監(jiān)督的情況下為生產(chǎn)提供應用和服務,組織應該監(jiān)視風險配置。這涉及到部署能夠在創(chuàng)建資源時自動發(fā)現(xiàn)資源的工具,確定在資源上運行的應用程序,并根據(jù)資源或應用程序類型應用適當?shù)牟呗?。配置監(jiān)控可以幫助特斯拉立即識別存在未受保護的Kubernetes控制臺以暴露他們的環(huán)境。

  監(jiān)控網(wǎng)絡流量:通過監(jiān)控網(wǎng)絡流量并將其與配置數(shù)據(jù)關聯(lián)起來,特斯拉可以檢測到被入侵的Kubernetes pod產(chǎn)生的可疑網(wǎng)絡流量。

  監(jiān)視可疑用戶行為:在因特網(wǎng)上公開的公共云環(huán)境中查找訪問憑據(jù)并不常見的,就像在Uber漏洞中那樣。組織需要一種方法來檢測帳戶的妥協(xié)。這需要基線化正常的用戶活動和探測異常行為,不僅要識別地理位置或基于時間的異常,還要識別基于事件的異常。在這種情況下,特斯拉的AWS訪問憑證可能會被從無保護的Kubernetes pod中泄露出去,隨后被用來進行其他不法活動。