哎,你们听说了没,黑客又开始猖獗了,这回是盯上了AWS凭证,利用来疯狂挖矿呢!可别小看了这事,要是有人给你用这账户挖矿了,10分钟内就能让你家底掏空,你都不知道呢。咱们聊聊这次的细节。在Kyle Koeller最近的一篇博客里,提到这个案子。黑客一开始拿到管理员级别的IAM凭证后,没等反应过来,就给你的ECS和EC2服务装上SBRMiner-MULTI挖矿工具了。真是迅雷不及掩耳之势啊。AWS的GuardDuty很快就发现了这种行为,给受害者发了警报。 这些黑客也很聪明,他们会先检查EC2的服务配额和现有实例数量。然后通过多次调用RunInstances API,并且启用DryRun标志来测试凭证权限。这样一来既能确认自己有足够的权限挖矿,又能避免因为启动太多实例产生费用和留下痕迹。 更过分的是,他们还一口气创建了几十个甚至超过50个ECS集群进行非法活动。为了保持长久性和最大化资源利用,他们还利用ModifyInstanceAttribute把API终止禁用设置为true。这样即使受害者想关闭这些恶意实例也很难做到。为了进一步干扰受害者删除恶意资源,这个设置还迫使受害者必须先重新启用API终止才行。 科勒还提到这次威胁者不仅是简单的脚本式攻击,还结合了多种计算服务和新兴的持久性技术来持续挖矿呢。这个手段确实先进啊!部署完挖矿程序后,这些罪犯还弄了个无身份验证的AWS Lambda函数通过公共URL暴露出来,这样就能够一直访问受害者系统了。这次的经历可真是给咱们安全团队提了个醒啊! 所以咱们平时一定要对账户安全保持高度警惕啊!还有别忘了定期更新密码和保护好自己的API密钥呢!