首页保安黑客通过合法的云跟踪工具进行攻击!

黑客通过合法的云跟踪工具进行攻击!

最近 攻击,该组的黑客 TNT战队 依靠合法工具避免恶意软件的发展 代码 在违反的云基础架构中。 特别是,他们使用了创建的开源工具来监视和控制云环境, 码头工人 和Kubernetes装置,从而将其占地面积减少到一个受损的 服务器.

分析攻击,网络安全公司的调查人员 “整数” 发现除了使用恶意图片 码头工人 感染受害者的服务器,众所周知,现在已经发现TeamTNT使用 编织范围 作为有效的 后门 根据Intezer的分析,其目标是在云网络基础架构中。

黑客利用合法的云跟踪工具

编织范围由 编织作品,是一种可靠的工具,可为用户提供对其云环境的完全访问权限,并且已集成到Docker,Kubernetes, 分布式云操作系统(DC / OS) 和AWS Elastic Compute Cloud(ECS)。 但是,黑客已利用此工具来映射受害者受害者的环境并执行系统命令,而无需开发恶意代码。 这种新策略表明了该团伙的演变。

根据Intezer安全研究员Nicole Fishbein的说法,这是首次揭示黑客正在滥用合法的第三方 软件 以云基础架构为目标。 这样,黑客就可以对受害者的云环境中包含的信息进行完全可见性和控制,从而有效地充当了后门。 Fishbein还指出,通过安装诸如Weave Scope之类的合法工具,入侵者可以获得所有好处,就好像他们在服务器上安装了后门程序一样,工作量大大减少,而且无需使用 恶意软件.

利用云跟踪工具进行黑客攻击

为了安装合法的“ Weave Scope”工具,黑客使用了公开的Docker API端口,并使用清晰的Ubuntu映像创建了一个新的特权容器。 然后将此容器配置为连接 系统 受害者服务器文件系统中的容器文件,因此使攻击者可以访问所有服务器文件。

Intezer观察到的原始命令是下载并执行许多加密矿工。 然后,黑客试图通过在主机服务器上创建本地特权用户来获取对服务器的根访问权限,然后他们通过安全外壳(SSH)重新连接。 然后他们下载并安装了Weave Scope,一旦启动,它们便通过端口4040上的HTTP将黑客连接到Weave Scope仪表板。

Intezer建议组织关闭所有暴露的Docker API端口,以防止初始入侵,因为这种攻击利用了不正确的Docker API配置。 因此,应关闭所有Docker API端口或包含受限制的访问策略 火墙。 组织还应阻止到端口4040的传入连接,因为Weave Scope将其用作默认值以使仪表板可访问。

波哈康塔斯https://www.secnews.gr
每一项成就都始于尝试的决定。
spot_img

实时新闻