स्कारलेटील खतरा डेटा चोरी और क्रिप्टोजैकिंग और DDoS जैसे अधिक दुर्भावनापूर्ण प्रकार के हमलों के लिए AWS फ़ार्गेट वातावरण को लक्षित करता है। जानें कि इस खतरे को कैसे कम किया जाए.
छवि: sarayut_sy/Shutterstock क्लाउड और कंटेनर सुरक्षा कंपनी Sysdig ने स्कार्लेटील खतरे पर एक नई रिपोर्ट जारी की है जो डेटा चोरी और अतिरिक्त दुर्भावनापूर्ण गतिविधियों के लिए विशिष्ट AWS वातावरण को लक्षित करती है। जानें कि स्कारलेटिल खतरा कैसे काम करता है और अपने व्यवसाय को इस खतरे से कैसे सुरक्षित रखें।
पर जाएं:
स्कारलेटिल खतरा क्या है? स्कारलेटिल का नया ऑपरेशन क्रिप्टोजैकिंग संभवतः एक प्रलोभन के रूप में उपयोग किया जाता है इस साइबर सुरक्षा खतरे से कैसे बचा जाए क्या क्या स्कारलेटिल ख़तरा है? Sysdig द्वारा फरवरी 2023 में खोजा गया। यह ऑपरेशन एक लक्ष्य को ध्यान में रखते हुए पीड़ित के AWS खाते में फैलाने के लिए कुबेरनेट्स कंटेनरों से समझौता करके शुरू किया गया था: मालिकाना सॉफ़्टवेयर की चोरी करना। हमले ने एक क्रिप्टोमाइनर को समझौता किए गए वातावरण पर भी गिरा दिया, फिर भी सिसडिग की थ्रेट रिसर्च टीम ने अनुमान लगाया कि क्रिप्टोजैकिंग ऑपरेशन का इस्तेमाल संभवतः डेटा चोरी ऑपरेशन का पता लगाने से बचने के लिए एक प्रलोभन के रूप में किया गया था।
हमले से पता चला कि धमकी देने वाले अभिनेता को एडब्ल्यूएस क्लाउड मैकेनिक्स का ठोस ज्ञान था जिसमें इलास्टिक कंप्यूट क्लाउड भूमिकाएं, लैम्ब्डा सर्वर रहित फ़ंक्शंस और टेराफ़ॉर्म, कोड टूल के रूप में एक ओपन-सोर्स इंफ्रास्ट्रक्चर शामिल था जो किसी भी प्रकार के इंफ्रास्ट्रक्चर पर संचालन को स्वचालित करने में सक्षम है। क्लाउड समाधान का।
स्कारलेटिल का नया ऑपरेशन सिसडिग थ्रेट रिसर्च टीम के अनुसार, स्कारलेटिल की रणनीति, तकनीक और प्रक्रियाओं में सुधार हुआ है। पिछले ऑपरेशन की तरह, यहां खतरे वाले अभिनेता का अंतिम लक्ष्य डेटा चोरी प्रतीत होता है, हालांकि अभिनेता अभी भी अपने हमले के दौरान क्रिप्टोमाइनर लगाता है (चित्रा ए).
चित्रा ए
स्कारलेटिल का आक्रमण वर्कफ़्लो। छवि: सिसडिग स्कारलेटिल AWS फ़ार्गेट क्रेडेंशियल्स को कैसे लक्षित करती है इस बार, हमला कुबेरनेट्स क्लस्टर में तैनात ज्यूपिटरलैब नोटबुक कंटेनरों का शोषण करने वाले खतरे वाले अभिनेता के साथ शुरू होता है। फिर, हमलावर फ़ाइल सिस्टम में इंस्टेंस मेटाडेटा सेवा (IMDSv1 और IMDSv2) और लक्षित मशीन में बनाए गए डॉकर कंटेनरों में AWS फ़ार्गेट क्रेडेंशियल प्राप्त करने का प्रयास करने के लिए कई स्क्रिप्ट का उपयोग करके क्रेडेंशियल चोरी पर ध्यान केंद्रित करता है। चुराए गए क्रेडेंशियल एक आईपी पते पर भेजे जाते हैं जो पहले स्कारलेटिल द्वारा उपयोग किया गया था।
हमलावर उन कंटेनरों में एडब्ल्यूएस क्रेडेंशियल चुराने में कामयाब रहा जो IMDSv1 का उपयोग कर रहे थे। IMDSv2 पासवर्ड की चोरी अत्यधिक विशिष्ट वातावरण पर निर्भर करती है। कॉन्फ़िगरेशन के आधार पर, किसी हमलावर के लिए IMDSv2 पर क्रेडेंशियल चुराना संभव नहीं हो सकता है।
कर्ल और wget के उपयोग के आधार पर पहचान से बचने के लिए कमांड-लाइन उपकरण, जिनकी अक्सर सुरक्षा समाधानों द्वारा निगरानी की जाती है, धमकी देने वाले ने प्राप्त क्रेडेंशियल्स को बाहर निकालने के लिए एक कस्टम स्क्रिप्ट का उपयोग करने का निर्णय लिया ( चित्र बी). डेटा आधार है64 -एन्कोडेड, इसलिए इसे स्पष्ट पाठ के रूप में नहीं भेजा जाएगा।
चित्रा बी
कर्ल/वगेट पहचान से बचने के लिए कस्टम क्रेडेंशियल एक्सफिल्ट्रेशन स्क्रिप्ट। छवि: सिसडिग एक बार हमलावर के कब्जे में हो जाने पर क्रेडेंशियल्स, वे Pacu के साथ AWS कमांड-लाइन इंटरफ़ेस स्थापित करते हैं, जो आक्रामक सुरक्षा परीक्षण के लिए डिज़ाइन किया गया एक ओपन-सोर्स AWS शोषण ढांचा है।
फिर हमलावर ने इसका उपयोग किया AWS CLI -endpoint-url विकल्प का उपयोग करके अमेज़ॅन S3-संगत रूसी सिस्टम से कनेक्ट करने के लिए, जो हमलावरों को अपने टूल डाउनलोड करने और पीड़ित के क्लाउडट्रेल द्वारा लॉग किए बिना डेटा को बाहर निकालने की अनुमति देता है।
धमकी देने वाले अभिनेता द्वारा लक्ष्य के AWS वातावरण में स्वचालित टोही आयोजित करने के बाद, उन्होंने व्यवस्थापकीय पहुंच प्राप्त की और “aws_support” नामक एक उपयोगकर्ता बनाया, जो ऑपरेशन जारी रखने के लिए उस पर स्विच कर रहा था।
स्कारलेटिल कुबेरनेट्स को कैसे निशाना बनाता है धमकी देने वाला अभिनेता सक्रिय रूप से पीड़ित के वातावरण में कुबेरनेट्स को लक्षित करता है। हमलावर ने पाइरेट्स, एक कुबेरनेट्स प्रवेश उपकरण का उपयोग किया है जो एक हमलावर को विशेषाधिकारों को बढ़ाने और कुबेरनेट्स क्लस्टर के माध्यम से घूमने में सक्षम बनाता है। यह टोकन और रहस्यों को चुराने और एकत्र करने के लिए ज्ञात तकनीकों को भी स्वचालित करता है।
धमकी देने वाले अभिनेता ने मिराई जैसा मैलवेयर पेंडोरा को भी अंजाम दिया, जो लिनक्स का उपयोग करके DDoS हमले चलाता है विशिष्ट लक्ष्यों के लिए सिस्टम और IoT सिस्टम। जैसा कि शोधकर्ताओं ने कहा है, “यह हमला संभवतः DDoS-ए-ए-सर्विस अभियान का हिस्सा है, जहां हमलावर पैसे के लिए DDoS क्षमताएं प्रदान करता है।”
क्रिप्टोजैकिंग का उपयोग संभवतः एक प्रलोभन के रूप में किया जाता है हमले के दौरान, धमकी देने वाले ने एक्सएमरिग क्रिप्टोमाइनर के उदाहरण, जो एक वैध उपकरण है जिसका उपयोग अक्सर क्रिप्टोजैकिंग ऑपरेशन में हमलावरों द्वारा किया जाता है। खनिक चलाने वाले सभी उदाहरणों की इतनी बड़ी संख्या को तुरंत पकड़ लिया गया, लेकिन धमकी देने वाले अभिनेता ने गुप्त प्रबंधक से रहस्य चुराकर या नए उदाहरण चलाने के लिए एसएसएच कुंजियों को अपडेट करके उसी उद्देश्य को प्राप्त करने के लिए अन्य खाते बनाए। अपर्याप्त विशेषाधिकारों के कारण यह असफल हो गया। यह एक बार फिर हमें विश्वास दिलाता है कि ऑपरेशन का क्रिप्टोमाइनिंग हिस्सा सभी डेटा चोरी गतिविधि को छिपाने का एक प्रलोभन हो सकता है।
इस साइबर सुरक्षा खतरे से कैसे बचें कंटेनर छवियां हमेशा विश्वसनीय स्रोतों से आनी चाहिए और नवीनतम सुरक्षा पैच के साथ लगातार अपडेट की जानी चाहिए। अनावश्यक सेवाओं को हमेशा अक्षम किया जाना चाहिए ताकि हमले की सतह में वृद्धि न हो। विशेषाधिकारों को भी कम किया जाना चाहिए, और संसाधन सीमाएं लागू की जानी चाहिए। इसके बजाय AWS IMDSv2 का उपयोग करना IMDSv1 कंटेनरों के लिए अनुशंसित सुरक्षा सर्वोत्तम अभ्यास है क्योंकि यह कॉन्फ़िगरेशन के आधार पर हमलावरों के लिए क्रेडेंशियल चोरी को कठिन बना देता है। एडब्ल्यूएस पहचान और पहुंच प्रबंधन भूमिका अनुमतियों की सावधानीपूर्वक जांच की जानी चाहिए। कंटेनर छवियों में कमजोरियों और मैलवेयर की पहचान करने के लिए सुरक्षा स्कैनिंग टूल का उपयोग किया जाना चाहिए। केवल आवश्यक कार्यों तक पहुंच को सीमित करने के लिए सटीक इनबाउंड और आउटबाउंड नीतियां लागू की जानी चाहिए। किसी भी संदिग्ध गतिविधि के लिए AWS क्लाउडट्रेल लॉग का विश्लेषण किया जाना चाहिए। मल्टीफैक्टर प्रमाणीकरण को तैनात किया जाना चाहिए AWS खातों से कनेक्ट हो रहा है। प्रकटीकरण: मैं ट्रेंड माइक्रो के लिए काम करता हूं, लेकिन इस लेख में व्यक्त विचार मेरे हैं .
Be First to Comment