Palo Alto Networks
Palo Alto Networks研究人员揭露,云端应用环境设定不当导致攻击者得以窃取重要资料,并向受害企业勒索的攻击行动。
Unite 24资安研究小组指出,这波攻击发生在部署帐号营运员(cloud operator),并启用权限过于宽松的身分验证管理(Identity & Authentication Management,IAM)的云端环境。由于这些帐号营运员未能遵循云端安全最佳实作,让骇客得以取得包含敏感变项,像是验证凭证的环境变项档(.env)档,并进行多种手法存取。.env档是一种设定档,允许用户定义应用程式或平台使用的配置变项。这些档案常包含敏感资讯,像是存取金钥、软体即服务(Software-as-a-service,SaaS)API金钥、和资料库登入资讯。
在研究人员观察到的行动中,攻击者在多个Amazon Web Services(AWS)设立攻击基础架构,先扫瞄网际网路以找寻公开曝险的bucket,再滥用其外泄的环境变项。这波攻击中,11万个网域成为锁定对象,最后取得9万多个独特的变项。这些变项中,7,000个属于组织的云端服务,研究人员并追踪1,500个变项是来自社交媒体帐号。研究人员说,受害组织.env档案之所以外泄,并非出于应用程式或服务漏洞,或是产品厂商原有设定不当,而是受害组织自己的配置不慎,像是不常变更密码,或是忽略使用最小权限的安全原则。
研究人员揭露的部分案例中,攻击者利用数种发现(discovery)API,锁定AWS服务包括IAM、Security Token Service(STS)、Simple Storage Service(S3)和Simple Email Service(SES)发出呼叫,并获得回传AWS UserID、AWS帐号号码以及Amazon Resource Name(ARN)。进一步探查ARN档,还可以取得关联的AWS服务、代管AWS资源的云端区域、AWS帐号及和IAM凭证相关的资源型态(如使用者或群组)。
利用这些到手的IAM凭证资讯,研究人员观察到攻击者对AWS EC2、及AWS Lambda服务发动权限扩张(escalation of privilege)、程式码执行(code execution)攻击。
最后,攻击者并利用云端容器内的资料,向受害组织勒赎。研究人员分析,骇客用以勒索受害组织的方法包括利用洋葱路由器(Tor)网路执行侦察和初始的存取,利用VPN达成横向移动和资料窃取,再使用虚拟私有网路(VPS)端点进行其他操作。这波攻击完全没用到加密,而是窃得资料后再把勒索讯息留在受害者云端容器内。
从被害网域数量之大,研究人员判断骇客是利用自动化手法执行攻击,他们也根据手法判断,发动攻击的是一群精于云端架构流程及手法的骇客。
Palo Alto Networks团队并未说明这波攻击是由谁发动,只说通报AWS后,AWS已解决用户bucket曝露在公开网际网路的问题。该公司并建议用户以防火墙、DNS安全、URL过滤、以及IAM方案来强化云端安全防护。