阿里巴巴 OSS 存儲桶被攻破,通過隱寫術分發惡意 Shell 腳本
阿里巴巴 OSS 存儲桶被攻破,通過隱寫術分發惡意 Shell 腳本
此前,我們報道了威脅行為者如何通過濫用配置錯誤問題以及從以前的惡意軟件感染中獲得的薄弱或被盜憑據來針對多個云環境(例如華為云)托管加密貨幣挖掘惡意軟件。
這一次,我們發現了一個惡意活動,該活動使用阿里云(也稱為阿里云)的對象存儲服務 (OSS)進行惡意軟件分發和非法加密貨幣挖掘活動。OSS是一項服務,允許阿里云客戶將Web應用程序圖像和備份信息等數據存儲在云端。不幸的是,這不是我們第一次看到針對阿里云的惡意行為者:今年早些時候,我們詳細介紹了惡意行為者如何禁用阿里云內部的功能以進行加密劫持。
惡意行為者如何濫用不安全的 OSS 存儲桶、憑據
為了保護 OSS 存儲桶,用戶必須設置適當的訪問策略。如果此操作不正確,惡意用戶可以將用戶的文件上傳或下載到存儲桶本身或從存儲桶本身下載。
惡意行為者還可以通過獲取用戶的AccessKey ID 和 AccessKey secret或 auth-token 來獲取用戶的 OSS 存儲桶。這些中的任何一個都可以從先前受到損害的服務中竊取,尤其是那些具有可作為純文本文件或環境變量中的配置訪問的秘密的服務。惡意行為者還可以通過使用憑證竊取器獲取對 OSS 存儲桶的訪問權限。TeamTNT 的擴展憑證收集器是一個臭名昭著的針對多個云環境的竊取器示例。
當我們調查此活動的技術細節時,我們發現其中一個 shell 腳本包含對 OSS KeySecret 和 GitHub 的引用。最初,我們假設惡意行為者只是搜索無意中推送到 GitHub 公共存儲庫中的憑據。
圖 1. 惡意腳本中的注釋表明不良的開發人員做法已被利用
我們在我們分析的一個樣本中看到了對惡意腳本的評論,并在使用谷歌翻譯獲得最初用中文編寫的評論的英文翻譯后證實了我們的初步假設。
圖 2. 惡意腳本中所寫評論的英文翻譯
隱寫術在將惡意軟件分發到被利用的 OSS 存儲桶中的作用
經過進一步調查,我們發現惡意行為者使用隱寫術將包含嵌入式 shell 腳本的圖像上傳到受感染的 OSS 存儲桶。
隱寫術是惡意行為者用來繞過防御機制的一種技術,尤其是與網絡相關的防御機制。這種策略的最簡單版本只是將惡意文件的擴展名更改為簡單的擴展名,例如“.png”。因此,僅查看文件擴展名的安全代理將授予對惡意文件的訪問權限。
在發現這種技術后,網絡犯罪分子被迫改進他們的策略。例如,他們開始在圖像和視頻中隱藏惡意軟件以進行混淆。通常,簡單的安全解決方案通過分析其標題來查看圖像文件。如果標頭與通常被認為無害的文件類型(如 PNG 文件)相匹配,則解決方案將授予文件訪問公司網絡的權限——即使它包含惡意腳本。
在我們分析的活動中,惡意行為者選擇使用簡單的隱寫術策略并將惡意軟件嵌入圖像文件中。PNG 圖像本身是一個合法的圖像文件,但惡意行為者在其末尾附加了一個惡意 shell 腳本。因此,用戶將能夠訪問圖像本身,而不會看到附加到文件的惡意腳本。
圖 3. 包含惡意 shell 腳本的圖像
如圖4所示,使用“file”命令時,讀取圖片的頭部,判斷為圖片文件。使用“hd”之類的工具來檢查文件的原始內容會產生相同的結果,即認為標頭與 PNG 文件的標頭兼容。
圖 4. 下載文件的 PNG 標頭
然而,在下載圖像并進行仔細調查后,我們發現了嵌入的惡意 shell 腳本。
圖 5. 嵌入在 PNG 文件中的惡意 shell 腳本
惡意軟件作者使用 Unix dd 命令行實用程序在下載完成后提取惡意 shell 腳本。由于此命令通常用于更高級的任務,因此作者顯然至少具有 Unix 系統的中級知識。
圖 6. 從 PNG 文件到惡意代碼執行
Shell 腳本以配置錯誤的 Redis 實例為目標來挖掘 Monero
我們觀察到有效載荷本身使用 XMRig 非法挖掘 Monero,XMRig是一個開源和多平臺的 Monero 礦工。該活動使用了 xmr-asia1[.]nanopool[.]org 池。惡意 shell 腳本還針對配置錯誤的 Redis 實例,這些實例可被濫用以執行遠程代碼執行 (RCE)。這類似于過去參與加密劫持競賽的多個威脅參與者(例如TeamTNT和Kinsing)所做的事情。
結論和趨勢科技解決方案
我們不斷觀察網絡犯罪分子如何適應新環境并瞄準越來越多的云服務。由于我們預測這將是一個持久的趨勢,我們建議云用戶注意,在大多數情況下,惡意行為者將繼續利用云服務中的錯誤配置問題和設計問題來輕松訪問身份驗證令牌。
開發人員還應避免將任何憑據和機密放入他們喜歡的版本控制系統中,或將它們推送到可公開訪問的存儲庫中。事實上,這項調查進一步證明了惡意行為者總是在積極尋求泄露或暴露的憑據。
Trend Micro Cloud One?等安全解決方案可 保護云原生系統及其各個層。通過利用此解決方案,企業可以獲得對持續集成和持續交付 (CI/CD) 管道和應用程序的保護。Trend Micro Cloud One 平臺還包括 針對工作負載的工作負載安全 運行時保護。
