搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評(píng)論與回復(fù)
      VIP于 到期 續(xù)費(fèi)
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫(xiě)文章/發(fā)帖/加入社區(qū)
      會(huì)員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動(dòng)

      完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      研究人員發(fā)現(xiàn)一個(gè)可竊取AWS憑證的加密貨幣蠕蟲(chóng)

      如意 ? 來(lái)源:嘶吼網(wǎng) ? 作者:ang010ela ? 2020-08-26 14:04 ? 次閱讀

      研究人員近期發(fā)現(xiàn)一個(gè)可以竊取AWS憑證的加密貨幣蠕蟲(chóng)。這是首個(gè)含有AWS特定功能的蠕蟲(chóng),該蠕蟲(chóng)可以竊取本地憑證、掃描錯(cuò)誤配置的Docker平臺(tái)的網(wǎng)絡(luò)。研究人員發(fā)現(xiàn)黑客組織TeamTNT已經(jīng)成功入侵了大量的Docker和Kubernetes 系統(tǒng)。

      隨著越來(lái)越多的企業(yè)和組織將計(jì)算資源遷移到云和容器環(huán)境中,未來(lái)此類攻擊將越來(lái)越多。

      研究人員發(fā)現(xiàn)一個(gè)可竊取AWS憑證的加密貨幣蠕蟲(chóng)

      圖 1: TeamTNT蠕蟲(chóng)首次運(yùn)行時(shí)在屏幕上打印的消息

      AWS憑證竊取

      AWS CLI將憑證保存以未加密文件的形式保存在~/.aws/credentials,其他的配置信息保存在名為~/.aws/config 的文件中。

      竊取AWS憑證的代碼非常直接,執(zhí)行后會(huì)上傳默認(rèn)的AWS .credentials(憑證)和 .config(配置)文件到攻擊者的服務(wù)器——sayhi.bplace[。]net:

      研究人員發(fā)現(xiàn)一個(gè)可竊取AWS憑證的加密貨幣蠕蟲(chóng)

      圖 2: 從受害者系統(tǒng)中竊取AWS憑證的代碼

      攻擊者用Curl來(lái)發(fā)送AWS憑證到TeamTNT 的服務(wù)器,服務(wù)器會(huì)響應(yīng)消息“THX”:

      研究人員發(fā)現(xiàn)一個(gè)可竊取AWS憑證的加密貨幣蠕蟲(chóng)

      圖 3: 竊取的AWS憑證生成的網(wǎng)絡(luò)流量

      研究人員發(fā)送CanaryTokens.org創(chuàng)建的憑證到TeamTNT 服務(wù)器,但沒(méi)有使用過(guò)。這表明TeamTNT 手動(dòng)評(píng)估或使用該憑證,或之前創(chuàng)建的自動(dòng)化工具無(wú)法正常工作。

      傳播

      大多數(shù)的加密貨幣挖礦蠕蟲(chóng)都是直接復(fù)制和粘貼其他蠕蟲(chóng)的代碼并進(jìn)行修改。TeamTNT 的蠕蟲(chóng)中也含有來(lái)自Kinsing 蠕蟲(chóng)的代碼,目的是停止阿里云安全工具:

      研究人員發(fā)現(xiàn)一個(gè)可竊取AWS憑證的加密貨幣蠕蟲(chóng)

      圖 4: 阻止阿里云安全工具運(yùn)行的代碼

      未來(lái),將可能會(huì)有更多的蠕蟲(chóng)會(huì)復(fù)制竊取AWS 憑證文件的能力。

      Docker

      蠕蟲(chóng)中還含有用masscan 掃描開(kāi)放的Docker API的代碼,然后在新容器中安裝自己:

      研究人員發(fā)現(xiàn)一個(gè)可竊取AWS憑證的加密貨幣蠕蟲(chóng)

      圖 5: 掃描開(kāi)放的Docker API,然后安裝蠕蟲(chóng)到新容器中

      漏洞利用

      該蠕蟲(chóng)部署了XMRig 加密貨幣挖礦工具來(lái)挖門(mén)羅幣,以此為攻擊者賺錢。其中一個(gè)礦池提供了蠕蟲(chóng)黑掉的系統(tǒng)的詳細(xì)情況:

      研究人員發(fā)現(xiàn)一個(gè)可竊取AWS憑證的加密貨幣蠕蟲(chóng)

      圖 6: Monero Ocean 礦池中門(mén)羅幣錢包的數(shù)據(jù)

      該頁(yè)面一共有119個(gè)被黑的系統(tǒng),其中包括Kubernetes 集群和Jenkins Build 服務(wù)器。

      截止目前,研究人員共發(fā)現(xiàn)2個(gè)與該攻擊相關(guān)的門(mén)羅幣地址,共為T(mén)eamTNT 賺取了3門(mén)羅幣,價(jià)值約300美元,但這只是其中一起攻擊活動(dòng)。

      該蠕蟲(chóng)還部署了大量的惡意軟件:

      punk.py – SSH 利用工具

      日志清除工具

      Diamorphine Rootkit

      Tsunami IRC 后門(mén)

      TeamTNT

      蠕蟲(chóng)中大量引用了TeamTNT,并且使用的域名也是teamtnt[。]red。該域名上保存著惡意軟件,主頁(yè)TeamTNT RedTeamPentesting 是對(duì)公開(kāi)惡意軟件沙箱的引用:

      研究人員發(fā)現(xiàn)一個(gè)可竊取AWS憑證的加密貨幣蠕蟲(chóng)

      圖 7: teamtnt[。]red主頁(yè)

      結(jié)論

      這些攻擊其實(shí)并不復(fù)雜,有許多部署加密貨幣挖礦蠕蟲(chóng)的黑客組織已經(jīng)成功感染了大量的商業(yè)系統(tǒng)。研究人員給出了如下建議:

      了解哪些系統(tǒng)保存了AWS憑證文件,如果不需要那么就刪除。事實(shí)上,許多生產(chǎn)系統(tǒng)中都意外保留了開(kāi)發(fā)階段的憑證。

      使用防火墻規(guī)則來(lái)限制對(duì)Docker API的訪問(wèn)。研究人員強(qiáng)烈建議在設(shè)置防火墻時(shí)使用白名單方法。

      檢查所有到礦池的連接的網(wǎng)絡(luò)流量,或使用Stratum挖礦工具。

      檢查通過(guò)HTTP 發(fā)送AWS 憑證文件的所有連接。

      聲明:本文內(nèi)容及配圖由入駐作者撰寫(xiě)或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
      • 網(wǎng)絡(luò)攻擊
        +關(guān)注

        關(guān)注

        0

        文章

        329

        瀏覽量

        23375
      • 蠕蟲(chóng)
        +關(guān)注

        關(guān)注

        0

        文章

        6

        瀏覽量

        6704
      • AWS
        AWS
        +關(guān)注

        關(guān)注

        0

        文章

        418

        瀏覽量

        24182
      收藏 人收藏

        評(píng)論

        相關(guān)推薦

        研究人員利用人工智能提升超透鏡相機(jī)的圖像質(zhì)量

        研究人員利用深度學(xué)習(xí)技術(shù)提高了直接集成在 CMOS 成像芯片上的超透鏡相機(jī)(左)的圖像質(zhì)量。超透鏡利用 1000 納米高的圓柱形氮化硅納米柱陣列(右圖)操縱光線。 研究人員利用深度學(xué)習(xí)技術(shù)提高了超
        的頭像 發(fā)表于 06-11 06:34 ?235次閱讀
        <b class='flag-5'>研究人員</b>利用人工智能提升超透鏡相機(jī)的圖像質(zhì)量

        研究人員利用定制光控制二維材料的量子特性

        的發(fā)展鋪平了道路。 由美國(guó)能源部SLAC國(guó)家加速器實(shí)驗(yàn)室和斯坦福大學(xué)研究人員領(lǐng)導(dǎo)的研究小組將這種方法應(yīng)用于種名為六方氮化硼(hBN)的材料,這種材料由單層原子以蜂窩狀排列而成,其特性使其非常適合量子操縱。在實(shí)驗(yàn)中,科學(xué)家們利用
        的頭像 發(fā)表于 05-06 06:29 ?164次閱讀
        <b class='flag-5'>研究人員</b>利用定制光控制二維材料的量子特性

        研究人員發(fā)現(xiàn)提高激光加工分辨率的新方法

        通過(guò)透明玻璃聚焦定制激光束可以在材料內(nèi)部形成個(gè)小光斑。東北大學(xué)的研究人員研發(fā)了種利用這種小光斑改進(jìn)激光材料加工、提高加工分辨率的方法。 他們的
        的頭像 發(fā)表于 04-18 06:30 ?233次閱讀
        <b class='flag-5'>研究人員</b><b class='flag-5'>發(fā)現(xiàn)</b>提高激光加工分辨率的新方法

        研究人員首次將光子濾波器和調(diào)制器組合在單個(gè)芯片上

        悉尼大學(xué)的研究人員將光子濾波器和調(diào)制器組合在單個(gè)芯片上,使他們能夠精確檢測(cè)寬帶射頻頻譜上的信號(hào)。這項(xiàng)工作使光子芯片更接近有朝日,有可能取代光纖網(wǎng)絡(luò)中體積更大、更復(fù)雜的電子射頻芯片。
        的頭像 發(fā)表于 01-02 16:30 ?500次閱讀

        研究人員發(fā)現(xiàn)光子探測(cè)新技術(shù)

        ? 中佛羅里達(dá)大學(xué)研究員、納米科學(xué)技術(shù)中心教授Debashis Chanda開(kāi)發(fā)了種新技術(shù)來(lái)檢測(cè)光子——從可見(jiàn)光到無(wú)線電頻率的基本粒子,在攜帶細(xì)胞通信方面起著重要作用。 這進(jìn)步可能會(huì)導(dǎo)致各個(gè)領(lǐng)域
        的頭像 發(fā)表于 12-21 06:35 ?286次閱讀

        研究人員創(chuàng)造種六角形心電圖貼片 實(shí)現(xiàn)遙感與數(shù)據(jù)傳輸功能

        導(dǎo)? ? 語(yǔ)在《Applied Physics Reviews》期刊上,研究人員提出了種新型可穿戴心電圖貼片,旨在增強(qiáng)床旁診斷,檢測(cè)心血管疾病并幫助評(píng)估整體心臟健康狀況。該研究的重點(diǎn)在于利用有源干
        的頭像 發(fā)表于 12-13 16:44 ?379次閱讀

        研究人員設(shè)計(jì)種新的3D噴墨打印技術(shù)

        據(jù)悉,只帶韌帶和肌腱的骨骼機(jī)械手現(xiàn)在可以通過(guò)次3D打印完成 —— 這是通過(guò)種新的增材制造方法實(shí)現(xiàn)的,這種方法可以同時(shí)以高分辨率打印剛性和彈性材料。 這項(xiàng)新工作是瑞士蘇黎世聯(lián)邦理工學(xué)院的
        的頭像 發(fā)表于 11-20 17:01 ?594次閱讀

        SC23 | 研究人員競(jìng)相使用 NVIDIA CUDA Quantum 大力推進(jìn)研究工作

        眾多企業(yè)機(jī)構(gòu)正通過(guò) NVIDIA 軟件和 GPU 上的混合量子計(jì)算獲得洞察,全球最大的化工企業(yè)巴斯夫就是其中之。 巴斯夫的兩位研究人員 Michael Kuehn 和 Davide Vodola
        的頭像 發(fā)表于 11-14 20:05 ?509次閱讀
        SC23 | <b class='flag-5'>研究人員</b>競(jìng)相使用 NVIDIA CUDA Quantum 大力推進(jìn)<b class='flag-5'>研究</b>工作

        谷歌研究人員利用現(xiàn)有的耳機(jī)來(lái)測(cè)量心率

        谷歌的研究人員發(fā)現(xiàn),當(dāng)音樂(lè)播放時(shí),超聲波方法效果很好,但它在嘈雜的環(huán)境中還可能存在問(wèn)題,“APG信號(hào)有時(shí)會(huì)非常嘈雜,或可受到身體運(yùn)動(dòng)的嚴(yán)重干擾?!比欢麄?b class='flag-5'>發(fā)現(xiàn),他們可以通過(guò)使用多個(gè)頻率并找出其中最準(zhǔn)確的信號(hào)來(lái)克服運(yùn)動(dòng)問(wèn)題。
        的頭像 發(fā)表于 11-09 16:32 ?552次閱讀

        谷歌研究人員發(fā)現(xiàn)耳機(jī)和軟件可使用超聲波測(cè)量心率

        在9to5Google近日發(fā)現(xiàn)個(gè)新的研究博客中寫(xiě)道,他們嘗試了種不同的方法,稱為聽(tīng)力體積描記術(shù)(audioplethysmograph
        的頭像 發(fā)表于 11-09 16:32 ?1154次閱讀

        研究人員發(fā)現(xiàn)了迄今為止最快的半導(dǎo)體

        科學(xué)家們發(fā)現(xiàn)了他們所說(shuō)的迄今為止最快、最高效的半導(dǎo)體。盡管這種新材料是用地球上最稀有的元素之制成,但研究人員表示,有可能會(huì)發(fā)現(xiàn)由更豐富的材料制成的替代物,其運(yùn)行速度相當(dāng)快。
        的頭像 發(fā)表于 11-08 16:28 ?524次閱讀

        加州大學(xué)研究人員推出首款穩(wěn)定的全固態(tài)熱晶體管

        加州大學(xué)洛杉磯分校(UCLA)的研究人員利用電場(chǎng)來(lái)調(diào)節(jié)半導(dǎo)體器件的傳熱,推出了首款穩(wěn)定的全固態(tài)熱晶體管。 該小組的研究詳細(xì)闡述了該設(shè)備的預(yù)期應(yīng)用和操作機(jī)制,該研究計(jì)劃發(fā)表在11月3
        的頭像 發(fā)表于 11-07 15:42 ?459次閱讀

        小到個(gè)分子!研究人員開(kāi)發(fā)種微小的壓電電阻器

        使用壓阻的電子傳感器在許多設(shè)備中都很常見(jiàn),包括汽車、醫(yī)療可穿戴設(shè)備和智能手機(jī)?,F(xiàn)在,澳大利亞的研究人員開(kāi)發(fā)了種微小的壓電電阻器,小到個(gè)分子,可以實(shí)現(xiàn)
        的頭像 發(fā)表于 10-31 16:52 ?751次閱讀

        AT32基于FreeRTOS的AWS MQTT客戶端

        AT32基于FreeRTOS的AWS MQTT客戶端建立個(gè)MQTT客戶端與 AWS IoT Core進(jìn)行通訊,用戶可以基于這個(gè)范例去開(kāi)發(fā)屬于自己的應(yīng)用。
        發(fā)表于 10-26 06:03

        淺談2023年10種新興威脅趨勢(shì)和黑客攻擊手法

        安全研究人員發(fā)現(xiàn),今天的攻擊者更加關(guān)注竊取數(shù)據(jù)和獲取利益,因此他們?cè)趯?shí)施網(wǎng)絡(luò)攻擊時(shí),會(huì)盡量避免給受害者帶來(lái)嚴(yán)重的破壞,因此不再使用大范圍加密數(shù)據(jù)的攻擊模式,而是選擇最小破壞性的攻擊手法
        發(fā)表于 10-08 15:31 ?513次閱讀