Fireglass的高管在Black Hat 2016 session里展示了一些技術,這些技術讓黑客可以在Amazon Web Services環境里操縱AWS CloudTrail并且不會被發現。
Fireglass的聯合創始人和CTO Dan Amiga以及安全研究團隊領導人Dor Knafo列舉了一些入侵AWS環境的方法,這些方法讓黑客在完成攻擊的同時能夠消除入侵AWS CloudTrail,Amazon的安全監控服務的痕跡。Amiga說這些“用戶故障傳播”包括簡單的釣魚攻擊,以及在源碼倉庫,比如GitHub和Bitbucket里暴露AWS加密秘鑰。他還詳細介紹了直接感染的類型,比如管理員部署沒有完整掃描的“有毒的”Amazon機器鏡像,或者黑客獲得了云實例元數據,并且借助其獲得某個環境的訪問權限。
但是直接感染的另外一種重要來源,Fireglass稱之為AWS賬號跳躍。Amiga說因為Amazon向小型創業企業提供財務刺激政策——有時候多達15萬美元,來促進他們轉向AWS,當這些創業企業要么關閉要么縮小規模時,AWS賬號可能會被出售給那些想要得到打折價格的AWS實例的其他公司。
“這有點像黑市。你可以用10萬美元購買一個AWS賬號,這比Amazon的正常價格便宜”Amiga說。“你可以省很多錢,但是問題是在AWS里沒有重置按鈕。如果你已經購買了一個賬號……你沒有辦法掃描并且檢查所有數據中心,所有區域以及所有API。”
因此,AWS賬號的新主人可能會暴露在漏洞、惡意軟件的攻擊下,或者更為糟糕地,暴露在環境里潛伏的更嚴重的持久危險下。
Amiga和Knafo還詳細介紹了APT能夠使用的技術,通過訪問,操縱以及刪除CloudTrail數據來駐留在防護良好的AWS賬號內。一些技術,比如使用API調用來刪除或者停止CloudTrail配置,可能會引起管理員的注意。但是,其他方法,則更加難以發現,Amiga說。
例如,在Fireglass的研究報告里詳細介紹的,黑客可以為除了賬戶的home region的所有region關閉CloudTrail,該region的管理員可能并不會注意到。黑客還可以更新Amazon S3 bucket生命周期配置,在一天后刪除CloudTrail文件。第三個選擇是利用AWS Lambda,Amazon自己的事件驅動計算服務來攻擊環境本身。
“可以搭建一個lambda立刻刪除寫入到這個S3 bucket的所有日志文件,”Fireglass的研究報告宣傳。“Lambda功能由S3直接調用,它能夠贏得和其他嘗試消費寫入到bucket的文件的代碼之間的競爭,讓他們都不可見。”
要抵御這些類型的攻擊,Amiga提供了一些方向,包括分隔環境,以及加密敏感數據,同時密切關注AWS安全服務。
“小心關注CloudTrail以及所有不同的CloudWatch通知,”Amiga說。“假定你的環境可能會被瓦解,就像Code Spaces一樣。”
京公網安備 11010502049343號