ScarletEel黑客入侵AWS云基礎設施

研究人員發現，一個名為ScarletEel的有經濟動機的威脅攻擊者一直在滲透亞馬遜網絡服務（AWS）進行各種惡意活動。這些攻擊活動包括竊取憑證和知識產權、部署加密挖礦軟件以及進行分布式拒絕服務（DDoS）攻擊。

ScarletEel最初是由云安全公司Sysdig在今年2月的一篇博文中進行披露的。研究人員發現該組織能夠對AWS工具進行靈活的運用，并利用原生的AWS功能在云環境中進行有效的操作。并且通過獲得適當的訪問權限，ScarletEel然后會執行雙重攻擊策略，即植入加密挖礦軟件，同時竊取知識產權。

針對Sysdig最近進行的分析顯示，ScarletEel在不斷完善它的戰術并躲避云安全檢測機制。該威脅行為體已將其能力擴展到針對AWS Fargate（一種相對未開發的計算引擎）。此外，ScarletEel還將DDoS即服務（DDoS-as-a-service）納入到了其利用技術的范圍。

Sysdig的威脅研究工程師Alessandro Brucato解釋說，ScarletEel更善于針對受害者的環境，提高了利用漏洞的能力，同時很好的規避了客戶實施的防御安全措施。

為了發起更多的網絡攻擊，ScarletEel利用了Kubernetes集群中的Jupyter notebook容器。攻擊者利用腳本搜索AWS憑據，并將其發送回指揮控制（C2）服務器內。不過有趣的是，這些腳本使用了內置的shell命令，而不是使用命令行工具來隱蔽地竊取數據，從而避免了curl和wget等監控工具的檢測。

ScarletEel也使用了Pacu（一種針對AWS的開源滲透測試工具）來識別受害者賬戶中的權限提升的漏洞。同時，該威脅行為者還使用了Peirates，這是一款專為探索和利用Kubernetes環境而定制的工具。

攻擊者為了掩蓋他們真實的活動痕跡，設計了一種巧妙的防御機制。他們沒有直接與AWS進行交互，而是使用了支持AWS協議的俄羅斯服務器。通過使用本地的AWS命令，那么他們的惡意行為就會被掩蓋。此外，由于這些活動是在俄羅斯服務器上進行的，因此在受害者的AWS CloudTrail日志中并沒有被發現。

ScarletEel對云環境的攻擊給傳統的云安全措施帶來了很大的挑戰。例如，該威脅攻擊者成功入侵了AWS Fargate，由于其有限的訪問權限以及該工具主要在內部網絡進行使用，AWS Fargate通常不被視為目標。Sysdig的威脅研究主管Michael Clark強調，我們需要采取積極的防御措施來對抗ScarletEel這樣的設施。

他補充說，就像我們在這次攻擊中看到的那樣，他們最終還是進入了Fargate系統，并獲得了它的憑證。因此，他們肯定意識到了這其中存在的問題，而且他們進行攻擊可能只是時間問題。

Brucato解釋說，要防范像ScarletEel這樣的實體被攻擊，必須首先要采取一些措施防止攻擊者進入到你的環境。但如果他們已經進入到了你的內部網絡環境中，因為現在他們已經變得越來越復雜，你還必須要實施有效的安全措施。這里，Clark強調了有效的云安全態勢管理（CSPM）和云基礎設施權限管理（CIEM）的價值。

Brucato總結道，現在僅僅通過一種方式進行網絡保護還是不夠的，因為現在的攻擊者已經意識到了這一點。現在他們可以利用任何漏洞細節進行攻擊。