Palo Alto Networks

Palo Alto Networks研究人员揭露，云端应用环境设置不当导致攻击者得以窃取重要数据，并向受害企业勒索的攻击行动。

Unite 24资安研究小组指出，这波攻击发生在部署帐号营运员（cloud operator），并激活权限过于宽松的身分验证管理（Identity & Authentication Management，IAM）的云端环境。由于这些帐号营运员未能遵循云端安全最佳实作，让黑客得以取得包含敏感变项，像是验证凭证的环境变项档（.env）档，并进行多种手法存取。.env档是一种设置档，允许用户定义应用程序或平台使用的配置变项。这些文件常包含敏感信息，像是存取密钥、软件即服务（Software-as-a-service，SaaS）API密钥、和数据库登录信息。

在研究人员观察到的行动中，攻击者在多个Amazon Web Services（AWS）设立攻击基础架构，先扫瞄互联网以找寻公开曝险的bucket，再滥用其外泄的环境变项。这波攻击中，11万个网域成为锁定对象，最后取得9万多个独特的变项。这些变项中，7,000个属于组织的云端服务，研究人员并追踪1,500个变项是来自社交媒体帐号。研究人员说，受害组织.env文件之所以外泄，并非出于应用程序或服务漏洞，或是产品厂商原有设置不当，而是受害组织自己的配置不慎，像是不常变更密码，或是忽略使用最小权限的安全原则。

研究人员揭露的部分案例中，攻击者利用数种发现（discovery）API，锁定AWS服务包括IAM、Security Token Service（STS）、Simple Storage Service（S3）和Simple Email Service（SES）发出调用，并获得回传AWS UserID、AWS帐号号码以及Amazon Resource Name（ARN）。进一步探查ARN档，还可以取得关联的AWS服务、代管AWS资源的云端区域、AWS帐号及和IAM凭证相关的资源型态（如用户或群组）。

利用这些到手的IAM凭证信息，研究人员观察到攻击者对AWS EC2、及AWS Lambda服务发动权限扩张（escalation of privilege）、代码运行（code execution）攻击。

最后，攻击者并利用云端容器内的数据，向受害组织勒赎。研究人员分析，黑客用以勒索受害组织的方法包括利用洋葱路由器（Tor）网络运行侦察和初始的存取，利用VPN达成横向移动和数据窃取，再使用虚拟私有网络（VPS）端点进行其他操作。这波攻击完全没用到加密，而是窃得数据后再把勒索消息留在受害者云端容器内。

从被害网域数量之大，研究人员判断黑客是利用自动化手法运行攻击，他们也根据手法判断，发动攻击的是一群精于云端架构流程及手法的黑客。

Palo Alto Networks团队并未说明这波攻击是由谁发动，只说通报AWS后，AWS已解决用户bucket曝露在公开互联网的问题。该公司并建议用户以防火墙、DNS安全、URL过滤、以及IAM方案来强化云端安全防护。