網(wǎng)絡(luò)攻擊者如何利用泄露的憑據(jù)?可以通過想象合理的攻擊場景來回答這個問題。第一種情況：在Docker映像中找到RSA私鑰。
　　安全服務(wù)商不僅會剖析網(wǎng)絡(luò)攻擊者可以做些什么來獲取憑據(jù)，還會剖析他們在獲得初始訪問權(quán)限后會做些什么，并介紹不同的威脅場景，講述黑客的攻擊故事，而這些故事或者基于真實(shí)事件，或者是合理的理論。

　　查找泄露的TLS私鑰

　　對于這種威脅場景，將探索嵌入到容器映像中的秘密的潛在濫用;特別是TLS證書中使用的RSA私鑰。在這一場景中，PoorCorp公司使用DockerHub來公開托管他們的容器鏡像。黑客掃描DockerHub的圖像以查找在構(gòu)建過程中添加到容器中的秘密。就在那時，他們偶然發(fā)現(xiàn)了PoorCorp公司的原有的GitLab容器鏡像。

　　黑客發(fā)現(xiàn)了幾個添加到圖像層的文件，擴(kuò)展名為.crt和.key。當(dāng)黑客下載圖像并檢查.key文件的內(nèi)容時，他們會看到以下內(nèi)容：

　　-----BEGINRSAPRIVATEKEY-----

　　...(validkeycontents)...

　　-----ENDRSAPRIVATEKEY-----

　　然后，黑客檢查證書。該證書是通配符TLS證書，對PoorCorp公司域的所有子域均有效。在構(gòu)建GitLab映像時，PoorCorp公司添加了他們的TLS證書和私鑰，以便企業(yè)的開發(fā)人員能夠從內(nèi)部網(wǎng)絡(luò)外部訪問GitLab。

　　偽裝成PoorCorp公司

　　既然黑客有了通配符證書，他們就可以冒充PoorCorp公司的域。但是要做到這一點(diǎn)，他們還需要將PoorCorp公司的一個子域訪問黑客控制的計(jì)算機(jī)。是時候進(jìn)行一些DNS篡改了。

　　黑客有幾個不同的選擇。如果PoorCorp是像谷歌這樣的知公司，黑客可以帶著WiFiPineapple(這是一個使網(wǎng)絡(luò)攻擊者能夠通過設(shè)置惡意無線接入點(diǎn)竊取用戶數(shù)據(jù)的設(shè)備)去繁忙的地方，并欺騙他們的單點(diǎn)登錄(SSO)在強(qiáng)制門戶中。任何連接到惡意設(shè)備的人都會看到他們的憑據(jù)被盜。不幸的是，對于黑客來說，PoorCorp公司并沒有像谷歌那樣普遍用于身份驗(yàn)證。相反，黑客發(fā)現(xiàn)了一個不同的攻擊媒介：子域接管。

　　知道他們可以欺騙PoorCorp公司的任何子域之后，黑客立即開始檢查PoorCorp.公司域上的所有DNS記錄。很快，他們找到了一條指向GitHub頁面的A記錄(“A”代表“地址”)。PoorCorp公司最近從GitLab遷移到了GitHub，他們將演示網(wǎng)站的代碼放在GitHub存儲庫中，并與GitHub頁面一起發(fā)布。

　　PoorCorp公司刪除了他們的GitHub頁面測試存儲庫，但忘記清理指向它的DNS記錄。黑客啟動了一個新的GitHub帳戶，創(chuàng)建了PoorCorp公司的SSO的克隆，添加了泄露的TLS證書和密鑰，并在GitHub頁面上發(fā)布了該克隆。當(dāng)他們設(shè)置GitHub頁面時，他們將其配置為具有廢棄A記錄的子域。現(xiàn)在，網(wǎng)絡(luò)攻擊者控制了PoorCorp公司的子域，并且擁有了一個有效的TLS證書。

　　使用SSO克隆，黑客向PoorCorp公司的幾個IT管理員發(fā)送了一封魚叉式網(wǎng)絡(luò)釣魚電子郵件。兩位管理員都在有效域中被欺騙，并且網(wǎng)絡(luò)攻擊者現(xiàn)在在PoorCorp公司的網(wǎng)絡(luò)中擁有特權(quán)憑據(jù)。從那里開始，網(wǎng)絡(luò)攻擊者可以在網(wǎng)絡(luò)中隱藏并尋找高價(jià)值目標(biāo)，同時偽裝成管理員。最終，黑客可以竊取PoorCorp公司的寶貴數(shù)據(jù)并部署勒索軟件。

　　吸取的教訓(xùn)

　　現(xiàn)在介紹了完整的場景，以下了解哪里出了問題。

　　首先是泄露的TLS私鑰。PoorCorp公司將他們的通配符證書添加到他們的GitLab映像中，但他們認(rèn)為一旦發(fā)布在DockerHub上，任何人無法從Docker映像中竊取私鑰。與其在構(gòu)建容器時將敏感文件和硬編碼環(huán)境變量添加到容器中，PoorCorp公司應(yīng)該使用運(yùn)行時環(huán)境變量和掛載的卷來將秘密傳遞到容器中，GitGuardian的機(jī)密檢測CLIggshield已經(jīng)用于掃描Docker映像的命令。如果人們發(fā)現(xiàn)自己也犯了這個錯誤，則需要立即撤銷任何暴露的證書或憑證。

　　PoorCorp公司做錯的另一件事是忘記了被遺棄的GitHubPagesDNS記錄。在GitHub頁面上發(fā)布的站點(diǎn)將始終使用相同的IP地址：

　　·185.199.108.153

　　·185.199.109.153

　　·185.199.110.153

　　·185.199.111.153

　　當(dāng)A記錄指向GitHub頁面時，對該子域的任何請求都將轉(zhuǎn)到GitHuprepo配置的子域。由于PoorCorp公司放棄了其GitHub頁面存儲庫，它為黑客敞開了大門，讓他們可以創(chuàng)建自己的具有相同子域的域。子域接管并不是什么新鮮事，隨著技術(shù)的發(fā)展，總會有新的方法來利用它們。使公共DNS記錄保持最新始終是至關(guān)重要的。

　　希望這個場景能讓用戶在自己的運(yùn)營環(huán)境中進(jìn)行一些調(diào)查，并激發(fā)對容器和代碼安全性的興趣。暴露的憑證是威脅參與者的一個巨大的初始訪問向量。作為防御者，需要了解憑據(jù)可能被泄露的新方式，并且還需要領(lǐng)先于攻擊者，切斷他們在發(fā)現(xiàn)泄露的機(jī)密后可能采取的攻擊途徑。