SCARLETEEL 2.0

Sysdig erkennt neue Taktiken bei den SCARLETEEL 2.0 Angriffen

, Sysdig

Sysdig erkennt neue Taktiken bei den SCARLETEEL 2.0 Angriffen

Von Alessandro Brucato, Threat Research Engineer bei Sysdig

SCARLETEEL, eine raffinierte Cloud-Operation, über die das Sysdig Threat Research Team im Februar berichtete, ist weiterhin auf dem Vormarsch, verbessert seine Taktiken und stiehlt geschützte Daten. Cloud-Umgebungen sind nach wie vor ihr Hauptziel, aber die verwendeten Tools und Techniken haben sich angepasst, um die neuen Security-Maßnahmen zu umgehen. Zu den neuen Qualitäten gehören auch eine widerstandsfähigere und getarnte Befehls- und Kontrollarchitektur. AWS Fargate, eine anspruchsvollere Umgebung, in die eingedrungen werden muss, ist ebenfalls zu einem Ziel geworden, da ihre neuen Angriffswerkzeuge es ihnen ermöglichen, in dieser Umgebung zu operieren. Bei ihren jüngsten Aktivitäten hat Sysdig eine ähnliche Strategie beobachtet , wie sie in der letzten Untersuchung beschrieben wurde: Die Kompromittierung von AWS-Konten durch Ausnutzen anfälliger Rechendienste, Erlangen von Persistenz und dem Versuch der Monetarisierung mit Kryptowährungen. Wäre der Angriff nicht vereitelt worden, hätten die Täter nach vorsichtigen Schätzungen 4.000 US-Dollar pro Tag geschürft.

Da Sysdig SCARLETEEL bereits in der Vergangenheit beobachtete, wissen die Security-Experten, dass die Operation sich nicht nur auf Kryptomining, sondern auch auf den Diebstahl geistigen Eigentums konzentriert. Bei ihrem jüngsten Angriff entdeckten und nutzten sie einen Fehler in einer AWS-Richtlinie, der es ihnen ermöglichte, ihre Privilegien auf Administrator Access zu erweitern und die Kontrolle über das Konto zu übernehmen, mit dem sie dann tun und lassen konnten, was sie wollten. Sysdig beobachtet auch, dass sie Kubernetes ins Visier genommen haben, um den Angriff erheblich auszuweiten.

Abbildung: Veranschaulichung des Vorgehens der Drahtzieher hinter SCARLETEEL

Im Folgenden wird beschrieben, wie sich das Vorgehen im Vergleich zur vorhergehenden Operation entwickelt hat. Zu den Verbesserungen gehören:

  • Skripte, die wissen, dass sie sich in einem von Fargate gehosteten Container befinden und die Anmeldeinformationen sammeln können.
  • Hochstufung zum Administrator des AWS-Kontos des Opfers und Einrichtung von EC2-Instanzen, auf denen Miner ausgeführt werden.
  • Verbesserte Tools und Techniken, um ihre Angriffsmöglichkeiten und Umgehungstechniken zu erweitern.
  • Versuch, IMDSv2 auszunutzen, um das Token zu erhalten und es dann zu verwenden, um AWS-Anmeldeinformationen zu erhalten.
  • Mehrere Änderungen an C2-Domänen, einschließlich der Verwendung von öffentlichen Diensten zum Senden und Abrufen von Daten.
  • Verwendung von AWS CLI und pacu auf den ausgenutzten Containern zur weiteren Ausnutzung von AWS.
  • Verwendung von peirates zur weiteren Nutzung von Kubernetes.

Beweggründe der Täter – AWS-Anmeldeinformationen

Nach der Ausnutzung einiger JupyterLab Notebook Container, die in einem Kubernetes Cluster bereitgestellt wurden, führte SCARLETEEL mehrere Arten von Angriffen durch. Eines der Hauptziele dieser Angriffe war der Diebstahl von AWS-Anmeldeinformationen, um die AWS-Umgebung des Opfers weiter auszunutzen.

Die Angreifer verwendeten mehrere Versionen von Skripten zum Diebstahl von Anmeldeinformationen, die unterschiedliche Techniken und Exfiltrationsendpunkte nutzten. Diese Skripte suchen an mehreren Stellen nach AWS-Anmeldeinformationen. Die Angreifer wurden dabei beobachtet, wie sie den AWS-Client nutzten, um sich mit russischen Systemen zu verbinden, die mit dem S3-Protokoll kompatibel sind.

Kubernetes als Ziel und Nutzung von DDoS-Kampagnen

Die SCARLETEEL-Akteure haben nicht nur AWS-Anmeldeinformationen gestohlen, sondern auch andere Angriffe durchgeführt, die ebenfalls auf Kubernetes abzielten. Insbesondere nutzten sie peirates, ein Tool zur weiteren Ausnutzung von Kubernetes. Dies zeigt, dass Angreifer Kubernetes in ihren Angriffsketten kennen und versuchen werden, die Umgebung auszunutzen.

Beim selben Angriff, bei dem der Angreifer die auf seine Cloud-Umgebung verweisende AWS-CLI nutzte, lud er auch Pandora, eine Malware des Mirai-Botnets , herunter und führte sie aus. Die Mirai-Malware zielt in erster Linie auf mit dem Internet verbundene IoT-Geräte ab und ist seit 2016 für zahlreiche groß angelegte DDoS-Angriffe verantwortlich. Dieser Angriff ist wahrscheinlich Teil einer DDoS-as-a-Service-Kampagne, bei der der Angreifer DDoS-Funktionen gegen Bezahlung anbietet. In diesem Fall würde der mit der Pandora-Malware infizierte Computer zu einem Knoten des Botnetzes, über das der Angreifer das vom Kunden ausgewählte Opfer angreift.

Eskalation der Privilegien

Nachdem der SCARLETEEL-Akteur die AWS-Schlüssel der Knotenrolle über die Instanz-Metadaten gesammelt hatte, begann er mit der automatischen Erkundung der AWS-Umgebung des Opfers. Nach einigen fehlgeschlagenen Versuchen, EC2-Instanzen auszuführen, versuchte er, Zugriffsschlüssel für alle Admin-Benutzer zu erzeugen. Das Opfer verwendete eine bestimmte Namenskonvention für alle seine Administratorkonten, ähnlich „adminJane“, „adminJohn“ usw. Eines der Konten wurde versehentlich abweichend von der Namenskonvention mit einem großgeschriebenen „A" für „Admin“ benannt, z. B. „AdminJoe". Dadurch konnte der Angreifer die folgende Richtlinie umgehen:

Diese Richtlinie hindert Angreifer daran, Zugriffsschlüssel für Benutzer mit „admin“ im Benutzernamen zu erstellen. Daher war es dem Angreifer möglich, Zugriff auf den Benutzer „AdminJoe“ zu erlangen, indem er Zugriffsschlüssel für ihn erstellte. Nachdem der Angreifer Admin-Zugriff erlangt hatte, war sein erstes Ziel, Persistenz zu erreichen. Mit den neuen Administratorrechten erstellte der Angreifer neue Benutzer und einen neuen Satz von Zugriffsschlüsseln für alle Benutzer des Kontos, einschließlich der Administratoren.

Cryptojacking

Das nächste Ziel war finanzieller Natur: Krypto-Mining. Mit Admin-Zugriff erstellte der Angreifer 42 Instanzen von c5.metal/r5a.4xlarge auf dem kompromittierten Konto, indem er das folgende Skript ausführte. Der Angreifer wurde schnell gefasst, da eine übermäßige Anzahl von Instanzen, auf denen Miner liefen, „Lärm“ verursachte. Sobald der Angreifer gefasst und der Zugriff auf das Administratorkonto eingeschränkt war, begann der Angreifer, die anderen neu erstellten Konten oder das kompromittierte Konto zu verwenden, um die gleichen Ziele zu erreichen, indem er Geheimnisse aus dem Secret Manager stahl oder SSH-Schlüssel aktualisierte, um neue Instanzen zu starten. Der Angreifer konnte aufgrund fehlender Berechtigungen nicht weiter vorgehen.

Fazit

SCARLETEEL-Akteure operieren weiterhin gegen Ziele in der Cloud, einschließlich AWS und Kubernetes. Seit dem letzten Bericht haben sie ihr Arsenal um mehrere neue Tools und eine neue C2-Infrastruktur erweitert, was die Entdeckung erschwert. Ihre bevorzugte Einstiegsmethode ist die Ausnutzung offener Rechendienste und verwundbarer Anwendungen. Der Schwerpunkt liegt nach wie vor auf der Erzielung von Geldgewinnen durch Krypto-Mining, aber wie im letzten Bericht beschrieben, bleibt geistiges Eigentum eine Priorität der Täter. Die Abwehr einer Bedrohung wie SCARLETEEL erfordert mehrere Verteidigungsebenen. Die Erkennung von Bedrohungen zur Laufzeit und die Reaktion darauf sind entscheidend, um zu verstehen, wann ein Angriff stattgefunden hat, aber Werkzeuge wie Schwachstellenmanagement, CSPM und CIEM könnten diese Angriffe verhindern. Das Fehlen einer dieser Ebenen kann ein Unternehmen einem erheblichen finanziellen Risiko aussetzen.