Amazon once again lost control (for 3 hours) over the IP pool in a BGP Hijacking attack

Tomasz Turba | 2022年10月28日 | 教育、研究

上个月，亚马逊对其基于云的IP地址池失去了超过三个小时的控制，这使得网络犯罪分子从AWS的一个客户用户那里窃取了23.5万美元。通过BGP劫持，黑客控制了一个包含256个IP地址的池。简要描述BGP协议，它是骨干——互联网网络功能的基础。它提供了互联网运营商和拥有全球IPv4地址片段供自己使用的实体的自治系统（AS）网络之间的路由。互联网上的路由通过上述AS号码之间的通信进行，基于这些号码通告的路由并选择“最佳”路径到达目的地。

技术分析显示，属于英国运营商quickhost.uk的AS209243突然开始通告其基础设施作为其他AS访问AS16509的24位IP地址块（亚马逊管理的三个号码之一）的正确路径。怀疑托管运营商Quick Host也是这次攻击的受害者，而不是攻击者。被捕获的块包含正确的IP地址44.235.216.69，解析为cbridge-prod2.celer.network。这是负责为Celer加密货币提供用户智能合约界面服务的子域名。智能合约是一种软件或协议形式，用于自动化和验证数字合约或由合约内部条款产生的重要事件。在这种情况下——将一种加密货币兑换为另一种的交易。8月17日，攻击者获得了上述子域名的TLS证书，因为他们能够向拉脱维亚的GoGetSSL认证机构（CA）证明他们控制了域名cbridge-prod2.celer.network。可能通过在该服务器上执行另一个漏洞或使用DNS服务器，这通常用于验证请求生成新证书的所有者（例如，通过添加特定的TXT记录，确认对域名和服务器的控制）。

图1. cBridge配置部分，带有替换的虚假智能合约地址，来源。

在拥有证书的同时，黑客为受害者托管了自己的智能合约，并等待试图访问正确加密货币交换网站——cBridge的人访问。恶意智能合约在3小时内从32个受害者账户中消耗了234,866.65美元。

图2. 截获的证书，来源。

基于在crt.sh网站上对证书ID的验证，可以确认获取日期和与Celer网络相关的IP地址。通过Censys平台可以观察到证书和地址的痕迹（图3）。

图3. 将证书与Celer地址关联，来源可在Censys.io获得。

我们可以看到与第二个证书相关的IP地址与分配给Celer网络的IP地址不相关。这清楚地表明，在短期替换期间，Censys或搜索引擎等工具无法收集最新的路由信息。然而，我们知道地址44.235.216.69从一开始就与cbridge-prod2.celer.network域名相关联，因此这不是潜在问题（图4）。

图4. 将IP地址与组织Amazon.com Inc.链接的历史日志。

为了解决这个难题，使用BGP路由图工具，如Hurricane Electric运营商，可能是一个好选择。

图5. AS16509号码的描述，来源。

正如在AS信息栏中显示的那样，我们收到信息，亚马逊的AS号码广播了所谓的bogons——一个不属于所选AS的虚假IP地址（图6）。

图6. 来自HE的信息，亚马逊的AS号码广播了所谓的bogons

SlowMist的研究团队成功联系了Celer网络的管理员，并从日志中获得了攻击者的IP地址，如下：54[.]84[.]236[.]100。这个地址与号码AS14618相关，（你不敢相信）同时宣布了虚假的bogons！

图7. 来自HE工具的确认，攻击者也发送了虚假地址，来源。

查看恶意AS号码的上述路由传播，确认AS14618（恶意）的IP通告路径是AS16509（亚马逊）。因此，可以确认BGP劫持（图8）。

图8. BGP劫持的确认，来源。

给定通信双方的AS号码和IP地址，通过BGP更新，研究人员可以看到在2022年8月18日CST（中央标准时间）2:48至7:48之间路由表的非常大交换。

图9. 注意到的BGP拓扑变化，来源。

在BGP劫持期间，网络犯罪分子试图撤销正确的AS号码路由，并通过在正确路由上设置撤销标志来替换为他们的路由。当浏览BGP Play记录时，这正是发生的事情，如图9所示。

图10. 确认的AS路由变更记录，将流量从AS16509（亚马逊）排除3小时，来源。

上述分析显示，从一开始，攻击者就准备好了一切——在时间安排、证书准备和替换、IP地址准备以及等待BGP路由传播方面。然而，犯罪分子不得不稍微依靠运气，事实上也确实发生了。对于以太坊网络，一笔带有虚假智能合约的交易高达15.6万美元，超过了从所有32笔交易中窃取金额的一半。

图11. 三小时BGP劫持攻击期间32笔交易的损失表，来源。

来源：

• https://arstechnica.com/information-technology/2022/09/how-3-hours-of-inaction-from-amazon-cost-cryptocurrency-holders-235000
• https://medium.com/coinmonks/truth-behind-the-celer-network-cbridge-cross-chain-bridge-incident-bgp-hijacking-52556227e940
• https://www.coinbase.com/blog/celer-bridge-incident-analysis

作者：Tomasz Turba 标签：bgp