黑客在拿到AWS的凭证后,10分钟内就启动了加密矿机,受害者很可能正在免费给人打工挖币。这种挖矿行为不是利用漏洞,而是直接拿有效IAM凭证里的管理员权限在EC2和ECS上跑SBRMiner-MULTI程序。亚马逊安全工程师Kyle Koeller这周在博客里提过这事,说攻击者先是在拿到的盗号账户里用RunInstances API配合DryRun模式测试权限,确认可以无限制跑满配额,又一口气创建了“几十个”ECS集群,甚至单次攻击中能超过50个。他们还把EC2的自动扩展组拉满了,好让资源用得更彻底。为了难以为继的挖矿行动得以继续,他们还用ModifyInstanceAttribute API把终端禁用选项设为true。这样一来,被黑客用于挖矿的AWS实例就停不下来了,受害者想删除受影响的资源,必须先手动再把这个选项调回去。Koeller说,攻击者把多套计算服务和最新的持久化技术都用上了,这是加密挖矿持久性方法的一大进步。在部署挖矿程序后,这些罪犯还建了个没密码的Lambda函数,然后把它暴露在公开的Lambda函数URL上,好随时访问受害系统的资源。