[imtoken最新下载]Leak挖矿攻击：攻击者通过迅速窃取(AWS) IAM密钥来

相关研究人员最近发现了一个异常活跃的攻击活动，研究人员称之为 EleKtra-Leak，它会自动窃取 GitHub 公共存储库中泄漏的身份和访问管理 ( IAM ) 密钥。因此，与该活动相关的攻击者能够创建多个 AWS 弹性计算 ( EC2 ) 实例，用于广泛和持久的加密劫持。

分析发现，攻击者能够在五分钟内识别并使用 GitHub 上首次泄漏的 IAM 密钥，这一发现证明了攻击者是如何利用云自动化技术来实现扩展加密劫持的目标。攻击者似乎使用自动化工具不断复制公共 GitHub 存储库，并扫描泄漏的亚马逊网络服务 ( AWS ) IAM 密钥。

分析过程

调查过程中，研究发现，攻击者可能会识别频繁出现的 AWS 账户 id，以阻止这些账户 id 免受未来的攻击或自动化脚本的攻击。因此，研究人员设计了一种新颖的调查架构来动态创建和泄漏不可归因的 AWS 密钥。

多年来，攻击者越来越多地使用 GitHub 作为攻击的初始载体。GitHub 的一个强大功能是它能够列出所有公共存储库，这使得开发人员和攻击者能够实时跟踪新的存储库。

考虑到这个功能，研究人员选择 GitHub 作为其窃取 AWS 密钥的实验平台，将明文泄露的密钥写入新创建的 GitHub 存储库中的文件中，该存储库是研究人员随机选择并从公共 GitHub 存储库列表中复制的。研究人员将 AWS 密钥泄露到复制存储库中随机创建的文件中，然后在成功提交后将其删除。

一旦将窃取的密钥提交到存储库，研究人员就会立即删除了它们。最初，IAM 密钥使用 Base64 编码。然而，尽管像 trufflehog 这样的工具可以找到泄漏的 Base64 IAM 密钥，但事实上没有攻击者能找到密钥。

研究人员认为，攻击者目前没有使用能够解码 base64 编码密钥的工具，其中一个原因可能是因为这些工具有时会产生噪音并产生许多误报。

研究人员随后进行了以明文形式泄露 AWS 密钥的实验，攻击者发现这些都是明文写的，隐藏在过去提交的一个随机文件中，并添加到复制的 repo 中。

GitHub 扫描

当研究人员在 GitHub 中泄漏 AWS 密钥时，GitHub 的秘密扫描功能发现了它们，然后 GitHub 以编程方式通知 AWS 泄漏的秘钥。这导致 AWS 自动将隔离策略应用于与密钥关联的用户，称为 AWSCompromisedKeyQuarantine。

最初，研究人员保留了 AWS awspromisedkeyquarantine 策略，在攻击者测试泄漏的密钥时被动地监控研究人员的侦察。研究人员有意将 AWS 隔离策略替换为原始的 IAM 策略，以进一步了解整个活动。

需要注意的是，应用 AWS 隔离策略不是因为攻击者发起了攻击，而是因为 AWS 在 GitHub 中发现了密钥。研究人员认为，攻击者可能能够找到 AWS 未自动检测到的已泄漏的 AWS 密钥，并随后在 AWSCompromisedKeyQuarantine 策略之外控制这些密钥。

在研究人员使用泄露密钥进行的实验中，攻击者在 AWS 应用隔离策略后四分钟内开始。下图显示了这些活动的时间轴。

攻击者的活动时间轴

上图最后一行显示，从 CloudTrail 事件 AttachUserPolicy 开始，AWS 在时间 13：30：22 时应用隔离策略。仅仅四分钟后，在 13：34：15，攻击者开始使用 AWS API descripregions 进行侦察。CloudTrail 是一个审计工具，它记录在配置的云资源中发生的和事件。

攻击结构

下图显示了整个自动化攻击结构。GitHub 公共存储库被实时扫描，一旦找到密钥，攻击者的自动化就会开始。

Operation CloudKeys 架构

下图显示，攻击者首先执行 AWS 帐户侦察。

AWS 帐户侦察

在侦察之后，攻击者创建 AWS 安全组，然后在任何可访问的 AWS 区域上最终启动每个区域的多个 EC2 实例。

修改安全组并启动第一个 EC2 实例

研究人员收集的数据表明，攻击者的自动化是在 VPN 环境中进行的。根据 CloudTrail 的日志记录，研究人员在多个地区重复了相同的操作，总共产生了 400 多个 API 调用，加起来只用了 7 分钟。这表明攻击者成功地隐藏了自己的身份，同时对 AWS 账户环境发起了自动攻击。

启动实例和配置

一旦发现 AWS 密钥，自动化的一部分将包括在不同地区运行实例的攻击者。下图显示了有关实例类型及其跨多个区域分布的统计信息。