商业云服务平台正成为黑客启动用户的渠道。

时间: 2018-08-29 11:14:46 作者: 管理员

越来越多的证据表明,黑客正以云服务用户为目标,利用公共云平台的共同特性来隐藏活动,从而在目标网络上继续进行恶意活动。

多年来,威胁堆栈网络安全团队一直在跟踪和观察黑客利用云服务的模式。一个明显的分水岭是在2016年,当时他们注意到使用Amazon Web Services (AWS)进行攻击的复杂性急剧增加。这种趋势在2017年变得更加明显。该团队指出,问题不在于AWS服务和软件容易受到攻击,而是黑客可以以一种聪明的方式利用其功能。

让我给你一个简单的例子:

黑客通常可以窃取AWS密钥来获取存储在open S3容器中的资源路径,或者启动新的Amazon Elastic Compute Cloud (EC2)来挖掘。这是常见的情况,在过去几年,错误的S3容器多次成为头条新闻。Amazon强调S3容器默认情况下是安全的;它还引入了Macie来保护AWS S3数据,并通过可信的Advisor提供免费的容器检查。

亚马逊推出的一系列安全服务并非空穴来风。使用AWS进行恶意活动正变得越来越复杂和具有针对性,可以与基于网络的入侵攻击相结合。

工作原理

这些攻击大多是在凭证被盗、黑客钓鱼访问密钥或凭证、部署恶意软件以获取用户名和密码或其他感兴趣的信息时开始的。

在获得凭证之后,下一步是确定可以获得的权限级别。如果黑客不想要任何东西,他可以尝试在AWS中创建其他帐户或凭证,然后在目标环境中启动一个新的EC2实例。

此时,黑客可以调用网络中的EC2实例来扫描主机。登陆新主机后,黑客将检查其AWS权限。如果您正在寻找少量数据,您可以绕过感染终端或主机上的DLP工具。如何做到这一点取决于黑客的动机。

行为模式

这通常发生在有针对性的持续攻击中,黑客试图获取特定数据,包括制造业、金融和高科技行业,这些都是热门目标。

如何获取数据和数据很大程度上取决于目的。例如,如果一家公司存储医疗保健信息或选民记录,黑客可能会批量收集数据。针对媒体公司的黑客可能只是想知道即将发布的产品信息或更具体的内容,而复制粘贴或捕捉屏幕截图则更难察觉。

总结

在AWS场景中很难检测到水平攻击的一个原因是,大多数安全监视技术假设攻击者潜入主机并升级特权。在这种情况下,黑客会试图离开主机层,返回到AWS控制平面,而大多数安全人员可能不会注意到这一点。