Scarleteel Targets AWS Fargate, Launches DDoS Campaigns

स्कारलेटिल खतरा डेटा चोरी और क्रिप्टोजैकिंग और DDoS जैसे अधिक दुर्भावनापूर्ण प्रकार के हमलों के लिए AWS फ़ार्गेट वातावरण को लक्षित करता है। जानें कि इस खतरे को कैसे कम किया जाए.

क्लाउड और कंटेनर सुरक्षा कंपनी Sysdig ने स्कार्लेटील खतरे पर एक नई रिपोर्ट जारी की है जो डेटा चोरी और अतिरिक्त दुर्भावनापूर्ण गतिविधियों के लिए विशिष्ट AWS वातावरण को लक्षित करती है। जानें कि स्कारलेटिल ख़तरा कैसे संचालित होता है और अपने व्यवसाय को इस ख़तरे से कैसे सुरक्षित रखें।

करने के लिए कूद:

स्कारलेटिल खतरा क्या है?

स्कारलेटिल AWS क्लाउड वातावरण पर एक परिष्कृत हमला है जिसे फरवरी 2023 में Sysdig द्वारा खोजा गया था। यह ऑपरेशन एक लक्ष्य को ध्यान में रखते हुए पीड़ित के AWS खाते में फैलाने के लिए कुबेरनेट्स कंटेनरों से समझौता करके शुरू किया गया था: मालिकाना सॉफ़्टवेयर की चोरी करना। हमले ने एक क्रिप्टोमाइनर को समझौता किए गए वातावरण में भी गिरा दिया, फिर भी सिसडिग की थ्रेट रिसर्च टीम ने अनुमान लगाया कि क्रिप्टोजैकिंग ऑपरेशन का उपयोग संभवतः डेटा चोरी ऑपरेशन का पता लगाने से बचने के लिए एक प्रलोभन के रूप में किया गया था।

हमले से पता चला कि धमकी देने वाले अभिनेता को एडब्ल्यूएस क्लाउड मैकेनिक्स का ठोस ज्ञान था जिसमें इलास्टिक कंप्यूट क्लाउड भूमिकाएं, लैम्ब्डा सर्वर रहित फ़ंक्शन और टेराफॉर्म, कोड टूल के रूप में एक ओपन-सोर्स इंफ्रास्ट्रक्चर शामिल था जो किसी भी प्रकार के क्लाउड समाधान पर बुनियादी ढांचे पर संचालन को स्वचालित करने में सक्षम है।

स्कारलेटिल का नया ऑपरेशन

सिसडिग थ्रेट रिसर्च टीम के अनुसार, स्कारलेटिल की रणनीति, तकनीक और प्रक्रियाओं में सुधार हुआ है। पिछले ऑपरेशन की तरह, यहां खतरे वाले अभिनेता का अंतिम लक्ष्य डेटा चोरी प्रतीत होता है, हालांकि अभिनेता अभी भी अपने हमले के दौरान क्रिप्टोमाइनर लगाता है (चित्र ए).

चित्र ए

स्कारलेटिल कैसे AWS फ़ार्गेट क्रेडेंशियल्स को लक्षित करती है

इस बार, हमले की शुरुआत कुबेरनेट्स क्लस्टर में तैनात ज्यूपिटरलैब नोटबुक कंटेनरों का शोषण करने वाले खतरे वाले अभिनेता से होती है। फिर, हमलावर फ़ाइल सिस्टम में इंस्टेंस मेटाडेटा सेवा (IMDSv1 और IMDSv2) और लक्षित मशीन में बनाए गए डॉकर कंटेनरों में AWS फ़ार्गेट क्रेडेंशियल प्राप्त करने का प्रयास करने के लिए कई स्क्रिप्ट का उपयोग करके क्रेडेंशियल चोरी पर ध्यान केंद्रित करता है। चुराए गए क्रेडेंशियल एक आईपी पते पर भेजे जाते हैं जिसका उपयोग पहले स्कारलेटिल द्वारा किया गया था।

हमलावर उन कंटेनरों में AWS क्रेडेंशियल चुराने में कामयाब रहा जो IMDSv1 का उपयोग कर रहे थे। IMDSv2 पासवर्ड की चोरी अत्यधिक विशिष्ट वातावरण पर निर्भर करती है। कॉन्फ़िगरेशन के आधार पर, किसी हमलावर के लिए IMDSv2 पर क्रेडेंशियल चुराना संभव नहीं हो सकता है।

कर्ल और डब्लूगेट कमांड-लाइन टूल के उपयोग के आधार पर पहचान से बचने के लिए, जिनकी अक्सर सुरक्षा समाधानों द्वारा निगरानी की जाती है, खतरे वाले अभिनेता ने प्राप्त क्रेडेंशियल्स को बाहर निकालने के लिए एक कस्टम स्क्रिप्ट का उपयोग करने का निर्णय लिया (चित्र बी). डेटा बेस64-एन्कोडेड है, इसलिए इसे स्पष्ट टेक्स्ट के रूप में नहीं भेजा जाएगा।

चित्र बी

एक बार जब हमलावर के पास क्रेडेंशियल्स आ जाते हैं, तो वे Pacu के साथ AWS कमांड-लाइन इंटरफ़ेस स्थापित करते हैं, जो आक्रामक सुरक्षा परीक्षण के लिए डिज़ाइन किया गया एक ओपन-सोर्स AWS शोषण ढांचा है।

इसके बाद हमलावर ने -endpoint-url विकल्प का उपयोग करके अमेज़ॅन S3-संगत रूसी सिस्टम से कनेक्ट करने के लिए AWS CLI का उपयोग किया, जो हमलावरों को पीड़ित के क्लाउडट्रेल द्वारा लॉग किए बिना अपने टूल डाउनलोड करने और डेटा को बाहर निकालने की अनुमति देता है।

धमकी देने वाले अभिनेता द्वारा लक्ष्य के AWS वातावरण में स्वचालित टोही आयोजित करने के बाद, उन्होंने व्यवस्थापकीय पहुंच प्राप्त की और “aws_support” नामक एक उपयोगकर्ता बनाया, जो ऑपरेशन जारी रखने के लिए उस पर स्विच कर रहा था।

स्कार्लेटील कुबेरनेट्स को कैसे निशाना बनाता है

धमकी देने वाला अभिनेता पीड़ित के परिवेश में कुबेरनेट्स को सक्रिय रूप से लक्षित करता है। हमलावर ने पाइरेट्स, एक कुबेरनेट्स प्रवेश उपकरण का उपयोग किया है जो एक हमलावर को विशेषाधिकारों को बढ़ाने और कुबेरनेट्स क्लस्टर के माध्यम से घूमने में सक्षम बनाता है। यह टोकन और रहस्यों को चुराने और एकत्र करने की ज्ञात तकनीकों को भी स्वचालित करता है।

धमकी देने वाले अभिनेता ने मिराई जैसा मैलवेयर पेंडोरा को भी अंजाम दिया, जो विशिष्ट लक्ष्यों के लिए लिनक्स सिस्टम और IoT सिस्टम का उपयोग करके DDoS हमले चलाता है। जैसा कि शोधकर्ताओं ने कहा है, “यह हमला संभवतः DDoS-ए-ए-सर्विस अभियान का हिस्सा है, जहां हमलावर पैसे के लिए DDoS क्षमताएं प्रदान करता है।”

क्रिप्टोजैकिंग का उपयोग संभवतः एक प्रलोभन के रूप में किया जाता है

हमले के दौरान, धमकी देने वाले अभिनेता ने एक्सएमरिग क्रिप्टोमाइनर के 42 उदाहरण बनाए, जो कि क्रिप्टोजैकिंग ऑपरेशन में हमलावरों द्वारा अक्सर इस्तेमाल किया जाने वाला एक वैध उपकरण है। खनिक चलाने वाले सभी उदाहरणों की इतनी बड़ी संख्या को तुरंत पकड़ लिया गया, लेकिन धमकी देने वाले अभिनेता ने गुप्त प्रबंधक से रहस्य चुराकर या नए उदाहरण चलाने के लिए एसएसएच कुंजियों को अपडेट करके उसी उद्देश्य को प्राप्त करने के लिए अन्य खाते बनाए। अपर्याप्त विशेषाधिकारों के कारण यह विफल हो गया।

यह देखना दिलचस्प है कि एक ख़तरनाक अभिनेता गुप्त ऑपरेशन चला रहा है और अचानक इतनी शोर-शराबे वाली गतिविधि शुरू कर देता है। यह एक बार फिर हमें विश्वास दिलाता है कि ऑपरेशन का क्रिप्टोमाइनिंग हिस्सा सभी डेटा चोरी गतिविधि को छिपाने का एक प्रलोभन हो सकता है।

इस साइबर सुरक्षा खतरे से कैसे बचें?

• कंटेनर छवियां हमेशा विश्वसनीय स्रोतों से आनी चाहिए और नवीनतम सुरक्षा पैच के साथ लगातार अपडेट की जानी चाहिए।
• अनावश्यक सेवाओं को हमेशा अक्षम किया जाना चाहिए ताकि हमले की सतह में वृद्धि न हो। विशेषाधिकारों को भी कम किया जाना चाहिए और संसाधन सीमाएँ लागू की जानी चाहिए।
• IMDSv1 के बजाय AWS IMDSv2 का उपयोग करना कंटेनरों के लिए अनुशंसित सुरक्षा सर्वोत्तम अभ्यास है क्योंकि यह कॉन्फ़िगरेशन के आधार पर हमलावरों के लिए क्रेडेंशियल चोरी को कठिन बना देता है।
• AWS पहचान और एक्सेस प्रबंधन भूमिका अनुमतियों की सावधानीपूर्वक जाँच की जानी चाहिए।
• कंटेनर छवियों में कमजोरियों और मैलवेयर की पहचान करने के लिए सुरक्षा स्कैनिंग टूल का उपयोग किया जाना चाहिए।
• केवल आवश्यक कार्यों तक पहुंच को सीमित करने के लिए सटीक इनबाउंड और आउटबाउंड नीतियां लागू की जानी चाहिए। किसी भी संदिग्ध गतिविधि के लिए AWS CloudTrail लॉग का विश्लेषण किया जाना चाहिए।
• AWS खातों से जुड़ने के लिए मल्टीफैक्टर प्रमाणीकरण तैनात किया जाना चाहिए।

प्रकटीकरण: मैं ट्रेंड माइक्रो के लिए काम करता हूं, लेकिन इस लेख में व्यक्त विचार मेरे हैं।