Scarleteel, eine raffinierte Cloud-Operation, über die das Sysdig-Threat-Research-Team im Februar berichtete, ist weiterhin auf dem Vormarsch, verbessert seine Taktiken und stiehlt geschützte Daten. Cloud-Umgebungen sind nach wie vor ihr Hauptziel, aber die verwendeten Tools und Techniken haben sich angepasst, um die neuen Sicherheitsmaßnahmen zu umgehen. Zu den neuen Qualitäten gehören auch eine widerstandsfähigere und getarnte Befehls- und Kontrollarchitektur. AWS-Fargate, eine anspruchsvollere Umgebung, in die eingedrungen werden muss, ist ebenfalls zu einem Ziel geworden, da ihre neuen Angriffswerkzeuge es ihnen ermöglichen, in dieser Umgebung zu operieren.
Bei ihren jüngsten Aktivitäten hat Sysdig eine ähnliche Strategie beobachtet, wie sie in der letzten Untersuchung beschrieben wurde: Die Kompromittierung von AWS-Konten durch Ausnutzen anfälliger Rechendienste, Erlangen von Persistenz und dem Versuch der Monetarisierung mit Kryptowährungen. Wäre der Angriff nicht vereitelt worden, hätten die Täter nach vorsichtigen Schätzungen 4.000 US-Dollar pro Tag geschürft.
Da Sysdig Scarleteel bereits in der Vergangenheit beobachtete, wissen die Sicherheitsexperten, dass die Operation sich nicht nur auf Kryptomining, sondern auch auf den Diebstahl geistigen Eigentums konzentriert. Bei ihrem jüngsten Angriff entdeckten und nutzten sie einen Fehler in einer AWS-Richtlinie, der es ihnen ermöglichte, ihre Privilegien auf Administrator Access zu erweitern und die Kontrolle über das Konto zu übernehmen, mit dem sie dann tun und lassen konnten, was sie wollten. Sysdig beobachtet auch, dass sie Kubernetes ins Visier genommen haben, um den Angriff erheblich auszuweiten.
Operative-Updates
Im Folgenden wird beschrieben, wie sich das Vorgehen im Vergleich zur vorhergehenden Operation entwickelt hat. Zu den Verbesserungen gehören:
- Skripte, die wissen, dass sie sich in einem von Fargate gehosteten Container befinden und die Anmeldeinformationen sammeln können.
- Hochstufung zum Administrator des AWS-Kontos des Opfers und Einrichtung von EC2-Instanzen, auf denen Miner ausgeführt werden.
- Verbesserte Tools und Techniken, um ihre Angriffsmöglichkeiten und Umgehungstechniken zu erweitern.
- Versuch, IMDSv2 auszunutzen, um das Token zu erhalten und es dann zu verwenden, um AWS-Anmeldeinformationen zu erhalten.
- Mehrere Änderungen an C2-Domänen, einschließlich der Verwendung von öffentlichen Diensten zum Senden und Abrufen von Daten.
- Verwendung von AWS CLI und pacu auf den ausgenutzten Containern zur weiteren Ausnutzung von AWS.
- Verwendung von peirates zur weiteren Nutzung von Kubernetes.
Beweggründe der Täter
AWS-Anmeldeinformationen
Nach der Ausnutzung einiger JupyterLab-Notebook-Container, die in einem Kubernetes-Cluster bereitgestellt wurden, führte Scarleteel mehrere Arten von Angriffen durch. Eines der Hauptziele dieser Angriffe war der Diebstahl von AWS-Anmeldeinformationen, um die AWS-Umgebung des Opfers weiter auszunutzen.
Die Angreifer verwendeten mehrere Versionen von Skripten zum Diebstahl von Anmeldeinformationen, die unterschiedliche Techniken und Exfiltrationsendpunkte nutzten. Diese Skripte suchen an mehreren Stellen nach AWS-Anmeldeinformationen.
Das Sysdig-Threat-Research-Team hat mehrere ähnliche Skripte analysiert, die auf „VirusTotal“ zu finden sind:
- https://www.virustotal.com/gui/file/99e70e041dad90226
186f39f9bc347115750c276a35bfd659beb23c047d1df6e - https://www.virustotal.com/gui/file/00a6b7157c98125c
6efd7681023449060a66cdb7792b3793512cd368856ac705 - https://www.virustotal.com/gui/file/57ddc709bcfe3ade1d
d390571622e98ca0f49306344d2a3f7ac89b77d70b7320 - https://www.virustotal.com/gui/file/3769e828f39126e
b8f18139740622ab12672feefaae4a355c3179136a09548a0
Die Angreifer wurden dabei beobachtet, wie sie den AWS-Client nutzten, um sich mit russischen Systemen zu verbinden, die mit dem S3-Protokoll kompatibel sind.
Durch die Verwendung der Option –endpoint-url wurden API-Anfragen nicht an die Standardendpunkte der AWS-Dienste gesendet, sondern an hb[.]bizmrg[.]com, das an mcs[.]mail[.]ru/storage, einen russischen S3-kompatiblen Objektspeicher, weiterleitete. Diese Anfragen wurden nicht im Cloud-Trail des Opfers protokolliert, da sie auf der Website mcs[.]mail[.]ru stattfanden. Mit dieser Technik kann der Angreifer den AWS-Client nutzen, um seine Tools herunterzuladen und Daten zu exfiltrieren, ohne Verdacht zu erregen.
Kubernetes als Ziel und Nutzung von DDoS-Kampagnen
Die Scarleteel-Akteure haben nicht nur AWS-Anmeldeinformationen gestohlen, sondern auch andere Angriffe durchgeführt, die ebenfalls auf Kubernetes abzielten. Insbesondere nutzten sie peirates, ein Tool zur weiteren Ausnutzung von Kubernetes. Dies zeigt, dass Angreifer Kubernetes in ihren Angriffsketten kennen und versuchen werden, die Umgebung auszunutzen.
Beim selben Angriff, bei dem der Angreifer die auf seine Cloud-Umgebung verweisende AWS-CLI nutzte, lud er auch Pandora, eine Malware des Mirai-Botnets , herunter und führte sie aus. Die Mirai-Malware zielt in erster Linie auf mit dem Internet verbundene IoT-Geräte ab und ist seit 2016 für zahlreiche groß angelegte DDoS-Angriffe verantwortlich. Dieser Angriff ist wahrscheinlich Teil einer DDoS-as-a-Service-Kampagne, bei der der Angreifer DDoS-Funktionen gegen Bezahlung anbietet. In diesem Fall würde der mit der Pandora-Malware infizierte Computer zu einem Knoten des Botnetzes, über das der Angreifer das vom Kunden ausgewählte Opfer angreift.
Eskalation der Privilegien
Nachdem der Scarleteel-Akteur die AWS-Schlüssel der Knotenrolle über die Instanz-Metadaten gesammelt hatte, begann er mit der automatischen Erkundung der AWS-Umgebung des Opfers. Nach einigen fehlgeschlagenen Versuchen, EC2-Instanzen auszuführen, versuchte er, Zugriffsschlüssel für alle Admin-Benutzer zu erzeugen. Das Opfer verwendete eine bestimmte Namenskonvention für alle seine Administratorkonten, ähnlich „adminJane“, „adminJohn“ usw. Eines der Konten wurde versehentlich abweichend von der Namenskonvention mit einem großgeschriebenen „A“ für „Admin“ benannt, z. B. „AdminJoe“. Dadurch konnte der Angreifer die folgende Richtlinie umgehen:
Diese Richtlinie hindert Angreifer daran, Zugriffsschlüssel für Benutzer mit „admin“ im Benutzernamen zu erstellen. Daher war es dem Angreifer möglich, Zugriff auf den Benutzer „AdminJoe“ zu erlangen, indem er Zugriffsschlüssel für ihn erstellte.
Nachdem der Angreifer Admin-Zugriff erlangt hatte, war sein erstes Ziel, Persistenz zu erreichen. Mit den neuen Administratorrechten erstellte der Angreifer neue Benutzer und einen neuen Satz von Zugriffsschlüsseln für alle Benutzer des Kontos, einschließlich der Administratoren.
Cryptojacking
Das nächste Ziel war finanzieller Natur: Krypto-Mining. Mit Admin-Zugriff erstellte der Angreifer 42 Instanzen von c5.metal/r5a.4xlarge auf dem kompromittierten Konto, indem er das folgende Skript ausführte. Der Angreifer wurde schnell gefasst, da eine übermäßige Anzahl von Instanzen, auf denen Miner liefen, „Lärm“ verursachte. Sobald der Angreifer gefasst und der Zugriff auf das Administratorkonto eingeschränkt war, begann der Angreifer, die anderen neu erstellten Konten oder das kompromittierte Konto zu verwenden, um die gleichen Ziele zu erreichen, indem er Geheimnisse aus dem Secret Manager stahl oder SSH-Schlüssel aktualisierte, um neue Instanzen zu starten. Der Angreifer konnte aufgrund fehlender Berechtigungen nicht weiter vorgehen.
Fazit
Scarleteel-Akteure operieren weiterhin gegen Ziele in der Cloud, einschließlich AWS und Kubernetes. Seit dem letzten Bericht haben sie ihr Arsenal um mehrere neue Tools und eine neue C2-Infrastruktur erweitert, was die Entdeckung erschwert. Ihre bevorzugte Einstiegsmethode ist die Ausnutzung offener Rechendienste und verwundbarer Anwendungen. Der Schwerpunkt liegt nach wie vor auf der Erzielung von Geldgewinnen durch Krypto-Mining, aber wie im letzten Bericht beschrieben, bleibt geistiges Eigentum eine Priorität der Täter.
Die Abwehr einer Bedrohung wie Scarleteel erfordert mehrere Verteidigungsebenen. Die Erkennung von Bedrohungen zur Laufzeit und die Reaktion darauf sind entscheidend, um zu verstehen, wann ein Angriff stattgefunden hat, aber Werkzeuge wie Schwachstellenmanagement, CSPM und CIEM könnten diese Angriffe verhindern. Das Fehlen einer dieser Ebenen kann ein Unternehmen einem erheblichen finanziellen Risiko aussetzen.
Von Alessandro Brucato, Threat Research Engineer bei Sysdig
Weitere Informationen und eine technische Analyse finden Sie im Blog von Sysdig: https://sysdig.com/blog/scarleteel-2-0/