0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

云计算:七个常见的攻击链和云攻击技术

如意 来源:嘶吼网 作者:嘶吼网 2020-07-02 10:24 次阅读

随着越来越多的企业组织将业务迁移到云计算环境之中,针对他们的网络犯罪分子也随之将目光瞄准云计算环境。了解最新的云攻击技术可以帮助企业组织更好地应对即将到来的威胁。

网络安全厂商WhiteHat Security公司首席技术官(CTO)Anthony Bettini在近日召开的RSA安全大会上的一个小组讨论中表示:

每当看到技术变革时,我认为您肯定也会看到泛滥成灾的网络攻击者,他们要么对技术变革进行攻击,要么驾驭变革浪潮。”当企业组织没有考虑这些威胁因素,而选择直接迁移至云环境时,很可能会搞得安全团队不知所措,从而致使其数据和流程面临严峻风险。

网络攻击者一直在寻找利用云计算技术进行攻击的新方法。以最近发现的“Cloud Snooper”攻击为例,该攻击使用rootkit通过受害者的Amazon Web Services(AWS)环境和本地部署防火墙将恶意流量引入,然后再将远程访问木马程序植入到基于云计算的服务器上。随着这些问题的不断出现,许多犯罪分子都依赖经过实践检验的方法,例如强行使用凭据或访问存储在错误配置的S3存储桶中的数据。安全专家表示,企业云安全道阻且长,安全团队必须跟上技术发展的步伐。

在谈及云平台中的网络攻击链问题时,Securosis公司分析师兼DisruptOps公司首席信息安全官(CISO)Rich Mogull表示:

“当您要利用现有的安全技能并且要进入一个完全不同的环境时,务必先要弄清楚您真正需要关注的重点以及真实情况到底是什么,这将是一个巨大的挑战。”

接下来,我们将讨论其中一些常见的攻击链,以及其他云攻击技术,这些都是安全专业人士和网络犯罪分子的首要考虑因素。

1. 凭证泄露导致帐户被劫持

导致帐户劫持的API凭据公开是云平台中的一个高危性攻击链。Mogull在RSA大会的演讲中表示:

“这种特殊的攻击确实是最常见的攻击类型之一。”

他表示,通过静态凭据(在AWS中,静态凭证是访问密钥和秘密密钥,它们类似于用户名和密码,但用于AWS API 调用),攻击者可以伪装成用户登录账户并将资金转移出去,因为这些凭据通常用于登录并授权交易中的操作。而我们之所以必须使用这些密码,是因为用户希望某些内部部署数据中心在与云平台对话时,需要具备某种用户名/密码凭证的能力。

当攻击者获得其中一个访问密钥时,他们就可以在受其控制的主机或平台上使用它,并执行API调用以进行恶意操作或特权升级。这些密钥通常是通过GitHub、BitBucket、共享图像、快照公开等方式泄露。网络攻击者反编译Google Play商店应用程序并提取静态凭据,然后便可以使用这些凭据。有人可能会侵入开发人员的笔记本电脑或实例,并查看他们的命令历史记录或配置文件,以找到允许他们进入云计算环境的访问密钥。

Mogull表示:

“我认为,这确实是当今云攻击的最大单一载体……是众多方法中的其中一种。尤其是公开发布内容。”

他建议,用户应该尽量减少使用其凭证,并在代码存储库和公司GitHub中进行扫描。因为一旦这些密钥公开暴露,网络攻击者只需几分钟就可以对您的基础架构进行尝试攻击。

2. 配置错误

星巴克公司全球首席信息安全官(CISO)Andy Kirkland在今年的CSA信息峰会上的一次演讲中表示,配置错误在很大程度上或至少部分是“影子IT的品牌重塑”。几乎任何人都可以得到一个S3存储桶,并随心所欲地使用它。与错误配置有关的网络攻击仍然会发生,因为企业组织经常无法保护其存储在公共云中的信息。

访问控制可能被设置为公共或匿名;存储桶策略或网络安全策略可能过于宽松;或将公共内容分发网络(CDN)设置为访问私有数据。面对这些情况,可以肯定的是,被放置在对象存储(Object Storage)中的敏感数据并没有得到适当的保护。网络攻击者通过扫描只要发现任何一个公开的数据存储,就能够轻松地提取他们想要的数据。

Mogull表示,这些默认值是安全的,但是可以很容易地将它们公开暴露。云计算提供商提供了减少这种情况的工具,但对于企业组织而言,这仍然是一个痛点。他建议,企业组织可以进行持续性评估,并特别注意对象级别权限:在更改存储桶级别权限时,并不总是更改对象级别权限。

他说:

“这些问题确实很难解决,因为有些企业组织在这些环境中有成千上万的对象,现在他们必须尝试找到它们。而最好的办法是使用控件‘不要让任何人公开此信息’。”

如果确实需要公开某些内容,则可以配置环境,以使所有内容保持原状,但以后不能公开其他内容。

Oracle Cloud安全产品管理高级总监Johnnie Konstantas表示:

“越来越多的关键工作负载运行在公共云中。我认为……公共云提供商有责任开展这种对话并商谈一下接下来的发展计划。”

3. 主流云计算服务是热门目标

随着越来越多的组织将业务迁移到云环境中,网络犯罪分子也将目光聚焦过来。这一点仿冒流行云计算服务(如Office 365)登录页面的钓鱼攻击中表现得尤为明显。网络犯罪分子正在寻找能为他们提供访问云计算服务的凭据。

趋势科技公司全球威胁通信负责人Jon Clay表示:

“不幸的是,许多企业组织仍在使用安全性薄弱的凭据。使用凭证填充的部分原因是,网络攻击者开始用带有网络钓鱼页面的钓鱼邮件来定位云基础设施和帐户。”

Imperva公司在其最新发布的《网络威胁指数》调查报告中指出,网络犯罪分子正在更多地利用公共云子源,该报告发现,在2019年11月至2019年12月之间,源自公共云的Web攻击增加了16%。其中,Amazon Web Services(AWS)是最受欢迎的来源,在所有源自公共云的网络攻击中占据52.9%。

在另一个关于滥用主要云服务的问题上,研究人员报告了一种新的下载程序,主要用于下载远程访问木马和信息窃取程序。据Proofpoint报道称:

“GuLoader在多个威胁组织中越来越受欢迎,并且通常会将加密的有效载荷存储在Google Drive或Microsoft OneDrive上。它经常被嵌入到容器文件中,例如.iso或.rar,除此之外,研究人员还发现它可以直接从云计算托管平台下载。”

4. 加密货币挖矿(Cryptomining)

在进入云端之后,许多网络入侵者会继续进行加密货币挖矿活动:大多数企业面临的一种低威胁性、高可能性的攻击类型。Mogull表示,每个拥有云计算账户的人都遇到过这个问题。

这种攻击是如何实践的呢?网络攻击者可以获得RunInstance、虚拟机或容器的凭据,运行大型实例或虚拟机,运行并注入Cryptominer并连接到网络,然后对其结果进行筛选。或者,它们可能危害泄露的实例、虚拟机或容器,并在其中注入加密货币矿工(Cryptominer)。星巴克公司首席安全架构师Shawn Harris表示:

“在所有网络攻击中,有78%的网络攻击是由利益驱动的。而加密货币挖掘是一种通过访问获利的非常快速的方法。”

趋势科技公司的Clay表示,服务器仍然是最好的加密平台,但是具有访问权限的攻击者正在采取措施隐瞒其活动。过去,攻击者习惯“抢夺系统上的所有东西”,这种张扬的方式很容易被受害者察觉。现在,他们学会了节制自己的行为,以躲避企业的监视。

5. 服务器端请求伪造

服务器端请求伪造(SSRF),指的是利用漏洞伪造服务器端发起请求,从而突破客户端获取不到数据限制。这是一种危险的攻击方法,并且在云计算环境中日益严重。由于使用了元数据API,它允许应用程序访问底层云基础设施中的配置、日志、凭据和其他信息,这使得SSRF成为了一种威胁。元数据API只能在本地访问,但是,SSRF漏洞使它可以从Internet访问。一旦被利用,网络攻击者就有能力实现横向移动并进行网络侦察。

Mogull补充道,这是一种更加复杂的攻击类型。网络攻击者首先会识别出具有潜在服务器端请求伪造(SSRF)漏洞的实例或容器,并利用该实例或容器通过元数据服务提取凭据,然后在网络攻击者的环境中使用该凭据建立会话。自此,攻击者便可以执行API调用以提升特权或采取其他恶意措施。

不过,要使服务器端请求伪造((SSRF)成功,还必须完成一些工作:必须向Internet公开某些内容,它必须包含服务器端请求伪造(SSRF)漏洞,并且必须具有允许它在其他地方工作的身份和访问管理(IAM)权限。除此之外,它还必须要拥有元数据服务的一个版本。

6. 云供应链中的缺口

Splunk公司高级副总裁兼安全市场总经理Song Haiyan认为,企业组织没有充分考虑将云数字供应链视为潜在的安全风险,也没有考虑事件响应在这种环境下的意义。

她解释称,我们使用的许多服务和应用程序……绝不仅仅是来自一家公司。例如,当您通过一个共享应用程序订购汽车时,会涉及到多个参与者:一家用于处理交易的支付公司,另一家提供GPS数据的公司。如果有人破坏了这个过程的一部分,将人送到了错误的地方,那么当所有这些API都由不同的供应商控制时,您将如何进行事件响应?

对此,Song Haiyan补充道,我们处于API经济之中。应用程序是使用API服务构建的,但是如果云中出现问题,则其背后的组织将需要适当的可见性和流程来处理它。是否具有服务级别协议(SLA)和事件响应程序?我们如何提供可见性和跟踪性?您知道你的服务提供者是谁吗?您了解他们的声誉现状吗?要知道,与信誉状况良好的供应商合作对您的企业将很有帮助。

7. 暴力攻击和访问即服务(Access-as-a-Service)

对于趋势科技公司的Clay而言,暴力攻击是头等大事。他说,网络攻击者已经开始制作带有链接到与云计算基础设施和帐户相关的恶意页面的钓鱼邮件。弹出窗口可能会诱导受害者在仿冒Office 365和其他云计算应用程序的虚假登录页面中输入其用户名和密码等信息。

网络威胁者都在寻找登录凭据。一些攻击者会使用该访问权限进行加密货币挖矿活动或寻找有价值的数据。还有一些攻击者什么也不用做:他们只需要在暗网上购买访问即服务(Access-as-a-Service)即可。网络攻击者可以访问企业组织的云计算环境,然后为另一个威胁小组管理该访问。例如,运营商Emotet可能会将其访问权出售给Sodinokibi或Ryuk勒索软件运营商。Clay指出,访问即服务(Access-as-a-Service)这种方式在勒索软件群体中非常流行,因为他们可以节省掉入侵目标企业的过程。

提供访问即服务(Access-as-a-Service)的人可以从犯罪团伙那里得到钱,而犯罪分子的钱又是从受害者那里获取的。随着这种方式逐渐流行开来,我们也将看到更少的恶意软件以及更多的直接性黑客攻击活动。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 云计算
    +关注

    关注

    39

    文章

    7720

    浏览量

    137159
  • 网络安全
    +关注

    关注

    10

    文章

    3119

    浏览量

    59570
  • 网络攻击
    +关注

    关注

    0

    文章

    331

    浏览量

    23416
收藏 人收藏

    评论

    相关推荐

    鉴源实验室·如何通过雷达攻击自动驾驶汽车-针对点识别模型的对抗性攻击的科普

    01 引 言 随着自动驾驶技术的迅速发展,雷达和激光雷达等传感器在自动驾驶汽车中的作用愈发重要。它们能够生成3D点数据,帮助车辆实时感知周围环境并做出安全决策。然而,尽管这些传感器对驾驶环境的检测
    的头像 发表于 11-05 15:44 129次阅读
    鉴源实验室·如何通过雷达<b class='flag-5'>攻击</b>自动驾驶汽车-针对点<b class='flag-5'>云</b>识别模型的对抗性<b class='flag-5'>攻击</b>的科普

    IBM发布最新威胁态势报告:凭证盗窃仍是主要攻击手段,企业亟需强健的云安全框架

    通过实施整体方法来保护云安全,包括保护数据、采用身份和访问管理 (IAM) 策略、主动管理风险,以及随时准备好应对事件,企业有备无患地保护其基础架构和服务,并降低基于凭证的攻击所带来的总体风险。
    的头像 发表于 10-11 09:18 494次阅读
    IBM发布最新<b class='flag-5'>云</b>威胁态势报告:凭证盗窃仍是主要<b class='flag-5'>攻击</b>手段,企业亟需强健的云安全框架

    IP定位技术追踪网络攻击源的方法

    如今,网络安全受到黑客威胁和病毒攻击越来越频繁,追踪攻击源头对于维护网络安全变得尤为重要。当我们遭受网络攻击时,通过IP地址追踪技术结合各种技术
    的头像 发表于 08-29 16:14 314次阅读

    Steam历史罕见大崩溃!近60僵尸网络,DDoS攻击暴涨2万倍

    (Distributed Denial of Service),是攻击者利用一台或多台不同位置的计算机对一或多个目标同时发动攻击
    的头像 发表于 08-27 10:44 249次阅读
    Steam历史罕见大崩溃!近60<b class='flag-5'>个</b>僵尸网络,DDoS<b class='flag-5'>攻击</b>暴涨2万倍

    如何理解计算

    计算的工作原理是什么? 计算和传统IT技术的区别? 华纳如何帮助您实现
    发表于 08-16 17:02

    关于计算的3误解

    虽然计算应用已经从概念成为现实并且有相当长时间了,但是仍然有一些人对计算持有误解。以下是关于计算
    的头像 发表于 07-26 16:33 236次阅读

    如何预防服务器被攻击

    在互联网快速发展的今天,计算以惊人的速度迅速发展,计算服务的基础产品服务器也迅速发展,最近有家
    的头像 发表于 07-05 11:16 252次阅读

    计算安全技术与信息安全技术之间的关系

    一、引言 随着信息技术的快速发展,计算已成为企业和个人存储、处理和分析数据的重要方式。然而,计算的普及也带来了一系列安全问题。本文旨在探
    的头像 发表于 07-02 09:30 609次阅读

    DDoS有哪些攻击手段?

    网络带宽小等等各项指标不高的性能,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了,目
    的头像 发表于 06-14 15:07 375次阅读

    抵御量子计算攻击!中国首个!

     据介绍,PQC技术能够有效地抵抗量子计算机的攻击。量子计算机因其超强算力可以对原本的公钥密码体系产生严重威胁。为抵抗量子计算机的潜在
    的头像 发表于 04-13 11:36 967次阅读

    邪恶PLC攻击技术的关键步骤

    今天我们来聊一聊PLC武器化探秘:邪恶PLC攻击技术的六关键步骤详解。
    的头像 发表于 01-23 11:20 1002次阅读
    邪恶PLC<b class='flag-5'>攻击</b><b class='flag-5'>技术</b>的关键步骤

    DDoS攻击的多种方式

    方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。DDOS攻击有以下几种方式。 SYN Flood攻击 SYN Flood
    的头像 发表于 01-12 16:17 571次阅读

    CSRF攻击的基本原理 如何防御CSRF攻击

    在当今数字化时代,随着网络应用的快速发展,网络安全问题变得日益突出,网络攻击手段也日益猖獗。在众多网络安全攻击手段中,CSRF(跨站请求伪造)攻击是一种被广泛认为具有潜在危害且常见
    的头像 发表于 01-02 10:12 2560次阅读
    CSRF<b class='flag-5'>攻击</b>的基本原理 如何防御CSRF<b class='flag-5'>攻击</b>

    蓝牙mesh网络的七个特点

    蓝牙mesh网络的七个特点
    的头像 发表于 12-21 11:20 901次阅读
    蓝牙mesh网络的<b class='flag-5'>七个</b>特点

    服务器被攻击应对方法

    服务器受到攻击时,采取适当的应对策略是关键,以确保系统的安全和可用性。下面,小编给大家简单总结一下服务器被攻击应对方法: 1、监控和检测:部署实时监控系统,定期审查日志,以便及时
    的头像 发表于 12-06 17:44 762次阅读