前言
來自國外的Threat Stack網路安全團隊的研究人員表示黑客利用正在利用商業雲服務平臺的特性對目標使用者發起惡意活動,並隱藏自己的行蹤。
越來越多的證據表明,黑客正在將目光對準雲服務使用者,利用公共雲平臺常見的功能來隱藏活動以長駐目標網路進行惡意活動。
來自Threat Stack網路安全團隊數年來一直在跟蹤和觀看黑客利用雲服務的模式。一個明顯的分水嶺是2016年,他們注意到利用亞馬遜網路服務(AWS)進行攻擊的複雜性陡然上升。在2017年這種趨勢更加明顯。該團隊指出,問題不在於AWS服務和軟體存在漏洞,而在於黑客能夠以巧妙的方式利用它的特性。
舉個簡單的例子:
黑客通常可以通過竊取AWS金鑰來獲得儲存在開放S3容器中的資源路徑,或者啟動新的Amazon Elastic Compute Cloud(EC2)來挖礦。這種情況已經很常見了,在過去的幾年裡配置錯誤的S3容器好幾次都登上了頭條新聞。亞馬遜強調預設情況下S3容器是安全的;,還推出了Macie以保護AWS S3資料,並通過Trusted Advisor提供免費的容器檢查。
針對亞馬遜推出的一系列安全服務,黑客這邊也沒有閒著。利用AWS進行惡意活動變得越來越複雜,針對性越來越強,可與基於網路的入侵攻擊相結合。
工作原理
大多數這些攻擊都始於憑證被竊取,黑客通過網路釣魚竊取訪問金鑰或憑據,部署惡意軟體以獲取使用者名稱和密碼,或者是其他感興趣的資訊。
在獲取憑證之後,下一步是確定可以獲得的許可權級別。如果沒有黑客想要的東西,他可能會嘗試在AWS中建立其他賬戶或憑據,然後在目標環境中啟動新的EC2例項。
此時,黑客可在網路中呼叫EC2例項來掃描主機。登陸新主機後,黑客會檢查其AWS許可權。如果只是在尋找少量資料,那麼在受感染的終端或主機上繞過DLP工具即可。具體怎麼做取決於黑客的動機。
行為模式
這種情況通常出現在針對性的持續攻擊中,黑客試圖獲得對特定資料的訪問許可權,包括製造業、金融業和高科技行業等都是他們的熱門目標。
如何獲取資料和資料量多大還是取決於目的。舉個例子,如果公司儲存醫療保健資訊或選民記錄,則黑客可能會批量查詢資料。而黑客瞄準媒體公司的話,可能只想要知道即將釋出的產品資訊或更具體的內容,這樣只要複製和貼上或擷取螢幕截圖即可,這種方式更難察覺到。
總結
在AWS場景中,橫向攻擊難以被檢測到的一個原因是,大多數安全監控技術都假設攻擊者潛入主機並升級許可權。而在這種情況下,黑客會盡量離開主機層返回到AWS控制平面,大多數安全人員可能都不會注意到這種操作。
*參考來源:DARKRing,Freddy編譯整理,轉載請註明來自 FreeBuf.COM
看雪推薦閱讀:
1、比特幣原始碼研讀---開篇
2、分析了個簡單的病毒, 熟悉一下16位彙編
3、某核心注入型外掛樣本原理分析。震驚!火絨慘遭利用,藍洞或成最大輸家
4、一次逆向fb尋找密碼的記錄及還原相關演算法
5、不死鳥之眼——CVE-2012-0158的常見利用姿勢