老服务新技巧UNC2903 的云元数据滥用

asmani000

自 Mandiant 发现 UNC2903 利用面向公众的 Web 应用程序利用 Amazon 的实例元数据服务 (IMDS) 获取和滥用凭证。Mandiant 跟踪了 UNC2903 使用被盗凭证访问 S3 存储桶和其他云资源的访问尝试。这篇博文介绍了 UNC2903 如何进行漏洞利用和 IMDS 滥用，以及云强化技术的相关最佳实践。

尽管 UNC2903 针对的是 Amazon Web Services (AWS) 环境，但许多其他云平台也提供类似的元数据服务，这些服务可能面临类似攻击的风险。随着企业继续 B2B 电子邮件列表 迁移到云托管服务，类似的威胁行为者动机和操作正变得越来越突出。本文还介绍了使用托管服务的安全和信息技术团队的潜在风险和注意事项。

时间线
Mandiant 的事件响应、情报和转型服务团队收集了本博文中描述的信息，以帮助更好地检测、预防和响应类似的机会性入侵。以下时间表描述了 UNC2903 在最早观察到的活动期间执行的活动。

，发布了CVE-2021-21311，描述了名为 Adminer 的易受攻击的数据库管理软件
UNC2903 利用服务器端请求伪造漏洞，获取受害者 Amazon Web Services 密钥并随后窃取数据
尽管这篇博文讨论了管理员软件现已修补的版本，但任何容易受到请求伪造或远程代码执行攻击的 Web 应用程序也可能为类似的元数据服务攻击开辟途径。



野外使用和利用的证据
云元数据的威胁格局
Mandiant 的分析师发现，最近对 AWS 和类似云平台托管服务的滥用和利用有所增加。UNC2903 开展的活动中发现的威胁是多阶段攻击，其中涉及基础设施扫描、侦察以及进一步滥用云托管平台提供的底层抽象层。一旦发生对底层系统的利用和滥用，被盗的凭证就会被利用来在受感染租户的其他 AWS 服务中进行数据泄露。

也就是说，对于导致 UNC2903 窃取数据的事件，Mandiant 的事件响应团队确定：

对托管管理员软件的面向外部的 AWS Web 基础设施进行网络扫描尝试
一旦确定基础设施，就会执行额外的网络导航和侦察
尝试利用托管 Web 服务器上可能存在的多个 Web 应用程序
进一步尝试表明使用已识别的漏洞进行手动利用和测试
鉴于基础设施托管在 Amazon Web Services 云中，IMDS 对于 UNC2903 等威胁参与者来说是一个有吸引力的目标。在 UNC2903 的案例中，我们观察到威胁行为者针对的是也运行 IMDSv1 的可利用 Web 应用程序。Amazon 的 IMDSv1 允许针对链接本地 IP 地址 (169.254.169.254) 向专用 URL 发出 Web 请求，该地址旨在增强整个托管平台内的内部服务通信和故障排除。可检索的元数据包括用于了解配置、拓扑、甚至获取用户角色和凭证的信息。