安全专家对网络攻击者针对企业云计算环境实施的常见和相关的攻击方法进行了阐述和分析。
随着越来越多的企业将业务迁移到云计算环境,寻求攻击的网络犯罪分子也是如此。而了解最新的攻击技术可以帮助企业更好地应对未来的威胁。
安全厂商WhiteHat Security公司首席技术官Anthony Bettini在日前召开的RSA安全大会上的一个小组讨论中说:“每当看到技术变革时,人们就会看到网络攻击泛滥成灾,他们或者对技术变革进行攻击,或者驾驭变革浪潮。”当企业在没有考虑安全状况的情况下而直接进入云平台中时,其安全团队可能不知所措,从而使数据和流程面临风险。
网络攻击者一直在寻找利用云计算技术进行攻击的新方法。以最近发现的“Cloud Snooper”攻击为例,这一攻击使用rootkit攻击企业的AWS云平台环境和内部部署防火墙,然后再将远程访问木马软件植入到基于云计算的服务器上。随着这些问题的不断出现,许多犯罪分子都采用经过实践检验的方法,例如强行使用凭据或访问存储在错误配置的S3存储桶中的数据。安全专家表示,企业的安全团队还有很多事情要跟上技术发展的步伐。
Securosis公司首席信息安全官Rich Mogull在RSA大会上谈到云平台中的网络攻击链时说,“当企业要利用现有的安全技能并且要进入一个完全不同的环境时,要弄清楚需要关注的重点以及真实情况到底是什么,这将是一个巨大的挑战。”
以下将讨论其中一些常见的攻击链以及其他云计算攻击技术,这些都是安全专家和网络犯罪分子的首要考虑因素。
1.凭证泄露导致帐户被劫持
导致帐户劫持的API凭据公开是云平台中的一个高严重性的攻击链。Mogull表示,这种攻击确实是最常见的攻击之一。
静态凭据是指用户访问密钥或Azure中的软件即服务(SaaS)令牌等。他解释说:“我们之所以必须使用这些密码,是因为用户希望某些内部部署数据中心在与云平台对话时,需要具备某种用户名/密码凭证的能力。”
当网络攻击者获得其中一个访问密钥时,他们可以在受其控制的主机或平台上使用它,并执行API调用以进行恶意操作或特权升级。这些密钥通常是通过GitHub、BitBucket、共享图像、快照公开等方式泄露。网络攻击者反编译Google Play商店应用并提取静态凭据,然后使用这些凭据。有人可能会侵入开发人员的笔记本电脑或实例,并查看他们的命令历史记录或配置文件,以找到允许他们进入云计算环境的访问密钥。
Mogull说:“我认为,这确实是当今云计算攻击的最大载体,这是其中一种方法。尤其是公开发布内容。”他建议,用户尽量减少使用其凭证,并在代码存储库和公司GitHub中进行扫描。因为一旦这些密钥对外泄露,网络攻击者只需几分钟就可以尝试对其基础设施进行攻击。
2.配置错误
星巴克公司全球首席信息安全官Andy Kirkland在今年的RSA信息峰会上的一次演讲中表示,配置错误在很大程度上或至少部分是“影子IT的品牌重塑”。几乎任何人都可以得到一个S3存储桶,并随心所欲地使用。而与错误配置有关的网络攻击仍然会发生,因为企业经常无法保护其在公共云中的信息。
在这种情况下,敏感数据被放置在对象存储中,并且没有得到适当的保护。访问控制可以设置为公共或匿名;存储桶策略或网络安全策略可能过于宽松;或将公共内容分发网络(CDN)设置为私有数据。网络攻击者扫描并发现一个打开的数据存储,然后提取他们想要的数据。
Mogull说,“这些默认值是安全的,但是可以很容易地将它们公开。”云计算提供商提供了减少这种情况的工具,但这仍然会给企业带来痛苦。他建议进行持续评估,并特别注意对象级别权限:在更改存储桶级别权限时,并不总是更改对象级别权限。
他说:“这种问题确实很难解决,因为有些企业在这些环境中有成千上万的对象,现在他们必须通过尝试并找到它们。最好的办法是使用控件不要让任何人公开此信息。”
Mogull表示,如果确实需要公开某些内容,则可以配置环境,以使所有内容保持原状,但以后不能公开其他内容。
Oracle Cloud安全产品管理高级总监Johnnie Konstantas说,“越来越多的关键工作负载运行在公共云中。我认为,公共云提供商有责任进行这种对话并谈论其内容。”
3.主要的云计算服务是热门目标
随着越来越多的组织迁移到云平台中,网络攻击者也在这样做。这在模拟流行云计算服务(如Office 365)的登录页面的钓鱼攻击中很明显。网络罪犯正在寻找能给他们提供云计算服务密钥的凭据。
趋势科技公司全球威胁通信负责人说:“不幸的是,许多企业仍然使用安全性薄弱的凭据。使用凭证填充的部分原因是,网络攻击者开始将具有网络钓鱼页面与网络基础设施和帐户联系的网络钓鱼电子邮件进行定位。”
Imperva公司在其最近发布的《网络威胁指数》调查报告指出,网络犯罪分子正在更多地利用公共云,该报告发现在2019年11月至2019年12月之间源自公共云的网络攻击增加了16%。亚马逊网络服务是最受欢迎的来源,所有网络攻击中有52.9%来自公共云。Imperva公司提供了这些统计信息,他说这表明云计算提供商应审核其平台上的恶意行为。
在另一个关于滥用主要云服务的问题上,研究人员报告了一种新的下载程序,主要用于下载远程访问特洛伊木马和信息窃取程序。据Proofpoint报道,“GuLoader在多个威胁组织中越来越受欢迎,通常会将加密的有效载荷存储在Google Drive或Microsoft OneDrive上。它经常被嵌入到容器文件中,比如.iso或.rar,但是研究人员也看到它直接从云计算托管平台下载。”
4.加密挖矿
当他们进入云端时,许多网络攻击者继续从事加密挖矿:大多数企业面临的是严重性较低的攻击。Mogull说,“每个拥有云计算账户的人都处理过这个问题。”
网络攻击者可以获得RunInstance、虚拟机或容器的凭据、运行大型实例或虚拟机,运行并注入Cryptominer并连接到网络,然后对其结果进行筛选。或者,它们可能危害泄露的实例、虚拟机或容器,并在其中注入Cryptominer。
星巴克公司首席安全架构师Shawn Harris说,“78%的网络攻击都是由财务驱动的,这是一种通过访问获利的非常快速的方法。”
趋势科技公司的Clay指出,服务器仍然是最好的加密平台,但是具有访问权限的攻击者正在采取措施隐瞒其活动,以躲避企业的监视。
5.服务器端请求伪造
服务器端请求伪造(SSRF)是一种危险的攻击方法,也是云计算环境中日益严重的问题。SSRF使用了元数据API,它允许应用程序访问底层云基础设施中的配置、日志、凭据和其他信息。元数据API只能在内部部署数据中心访问,但是,SSRF漏洞使它可以从全球互联网访问。如果受到网络攻击,网络攻击者可以横向移动并进行网络侦察。
Mogull说,这是一次更加复杂的攻击。网络攻击者首先识别出具有潜在服务器端请求伪造(SSRF)漏洞的实例或容器,利用该实例或容器通过元数据服务提取凭据,然后在网络攻击者的环境中使用凭据建立会话。网络攻击者在那里可以执行API调用以提升特权或采取其他恶意措施。
要使服务器端请求伪造(SSRF)成功,必须做一些事情:必须向全球互联网公开某些内容,它必须包含服务器端请求伪造(SSRF)漏洞,并且必须具有允许它在其他地方工作的身份和访问管理(IAM)权限。他补充说,现在必须具有元数据服务的一个版本。
6.云计算供应链中的差距
Splunk公司高级副总裁兼安全市场总经理Song Haiyan认为,企业没有充分考虑将云计算数字供应链视为潜在的安全风险,也没有考虑在这种环境下事件响应的影响。
她解释说:“我们使用的许多服务和应用程序不仅仅是来自一家公司。”例如,当采用一个共享应用程序订购汽车时,会涉及到多个参与者:一家支付公司处理交易,另一家提供GPS数据。如果有人破坏了这个过程的一部分,那么当所有这些API都由不同的供应商控制时,将如何处理事件响应?
Song Haiyan补充说:“我们处于API经济中。”应用程序是使用API服务构建的,但是如果云中出现问题,则其背后的组织将需要适当的可见性和流程来处理它。是否具有服务级别协议(SLA)和事件响应安排?如何提供可见性和跟踪性?知道提供者是谁吗?能了解他们的声誉吗?她补充说:“企业与状况良好的供应商合作很有帮助。”
7.强力攻击和访问即服务
对于Clay而言,强力攻击是首要大事。他说,网络攻击者已开始制作带有链接到与云计算基础设施和帐户相关的恶意页面的钓鱼邮件。弹出窗口可能会提示受害者在Office 365和其他云计算应用程序的虚假登录页面中输入其用户名和密码。
他说:“他们都在寻找证书。”一些网络攻击者使用该访问权限进行加密挖矿或寻找数据。Clay看到的一种发展趋势是暗网上的访问即服务的销售。网络攻击者可以访问组织的云计算环境,然后为另一个威胁组管理该访问。例如,运营商Emotet公司可能会将其访问权出售给Sodinokibi或Ryuk勒索软件运营商。Clay指出,很多勒索软件团体都在采用这种技术。
责任编辑;ct
评论
查看更多