ScarletEel黑客入侵AWS云基础设施

研究人员发现，一个名为ScarletEel的有经济动机的威胁攻击者一直在渗透亚马逊网络服务（AWS）进行各种恶意活动。这些攻击活动包括窃取凭证和知识产权、部署加密挖矿软件以及进行分布式拒绝服务（DDoS）攻击。

ScarletEel最初是由云安全公司Sysdig在今年2月的一篇博文中进行披露的。研究人员发现该组织能够对AWS工具进行灵活的运用，并利用原生的AWS功能在云环境中进行有效的操作。并且通过获得适当的访问权限，ScarletEel然后会执行双重攻击策略，即植入加密挖矿软件，同时窃取知识产权。

针对Sysdig最近进行的分析显示，ScarletEel在不断完善它的战术并躲避云安全检测机制。该威胁行为体已将其能力扩展到针对AWS Fargate（一种相对未开发的计算引擎）。此外，ScarletEel还将DDoS即服务（DDoS-as-a-service）纳入到了其利用技术的范围。

Sysdig的威胁研究工程师Alessandro Brucato解释说，ScarletEel更善于针对受害者的环境，提高了利用漏洞的能力，同时很好的规避了客户实施的防御安全措施。

为了发起更多的网络攻击，ScarletEel利用了Kubernetes集群中的Jupyter notebook容器。攻击者利用脚本搜索AWS凭据，并将其发送回指挥控制（C2）服务器内。不过有趣的是，这些脚本使用了内置的shell命令，而不是使用命令行工具来隐蔽地窃取数据，从而避免了curl和wget等监控工具的检测。

ScarletEel也使用了Pacu（一种针对AWS的开源渗透测试工具）来识别受害者账户中的权限提升的漏洞。同时，该威胁行为者还使用了Peirates，这是一款专为探索和利用Kubernetes环境而定制的工具。

攻击者为了掩盖他们真实的活动痕迹，设计了一种巧妙的防御机制。他们没有直接与AWS进行交互，而是使用了支持AWS协议的俄罗斯服务器。通过使用本地的AWS命令，那么他们的恶意行为就会被掩盖。此外，由于这些活动是在俄罗斯服务器上进行的，因此在受害者的AWS CloudTrail日志中并没有被发现。

ScarletEel对云环境的攻击给传统的云安全措施带来了很大的挑战。例如，该威胁攻击者成功入侵了AWS Fargate，由于其有限的访问权限以及该工具主要在内部网络进行使用，AWS Fargate通常不被视为目标。Sysdig的威胁研究主管Michael Clark强调，我们需要采取积极的防御措施来对抗ScarletEel这样的设施。

他补充说，就像我们在这次攻击中看到的那样，他们最终还是进入了Fargate系统，并获得了它的凭证。因此，他们肯定意识到了这其中存在的问题，而且他们进行攻击可能只是时间问题。

Brucato解释说，要防范像ScarletEel这样的实体被攻击，必须首先要采取一些措施防止攻击者进入到你的环境。但如果他们已经进入到了你的内部网络环境中，因为现在他们已经变得越来越复杂，你还必须要实施有效的安全措施。这里，Clark强调了有效的云安全态势管理（CSPM）和云基础设施权限管理（CIEM）的价值。

Brucato总结道，现在仅仅通过一种方式进行网络保护还是不够的，因为现在的攻击者已经意识到了这一点。现在他们可以利用任何漏洞细节进行攻击。