云安全攻防矩阵.pdf

云安全攻防矩阵 初始访问 云服务器攻击式 实例登录信息泄露 在购买并创建云服务器后，户可以配置云服务器的登录户名以及登录密码，Linux云服务器往往持户通过ssh的式使配置的户名密码或SSH密钥的式远程登录云服务器；在Windows服务器中，户可以通过RDP件或是远程桌的形式登录云服务器。当上述这些云服务器实例登录信息被窃取后，攻击者可以通过这些信息法登录云服务器实例。账户劫持 当云商提供的控制台存在漏洞时，户的账户存在定的劫持险。以AWS 控制台更改历史记录功能模块处XSS漏洞以及AWS 控制台实例tag处XSS为例，攻击者可以通过这些XSS漏洞完成账户劫持攻击，从获取云服务器实例的控制权。络钓 为了获取云服务器的访问权限，攻击者可采络钓技术段完成此阶段攻击。攻击者通过向云服务器管理员以及运维员发送特定主题的钓邮件、或是伪装身份与管理员以及运维员通过聊天具进交流，通过窃取凭据、登录信息或是安插后的形式获取云服务器控制权。应程序漏洞 当云服务器实例中运的应程序存在漏洞、或是由于配置不当导致这些应可以被法访问时，攻击者可以通过扫描探测的式发现并利这些应程序漏洞进攻击，从获取云服务器实例的访问权限。使恶意或存在漏洞的定义镜像 云平台为户提供公共镜像、定义镜像等镜像服务以供户快速创建和此镜像相同配置的云服务器实例。这的镜像虽然与Docker镜像不同，其底层使的是云硬盘快照服务，但云服务器镜像与 Docker镜像样存在着类似的险，即恶意镜像以及存在漏洞的镜像险。当户使其他户共享的镜像创建云服务器实例时，云平台法保证这个共享镜像的完整性或安全性。攻击者可以通过这个式，制作恶意定义镜像并通过共享的式进供应链攻击。容器攻击式 应程序漏洞 使恶意或存在漏洞的定义镜像 暴露 Kubernetes 控制板 kubeconfig件泄露 对象存储攻击式 对象存储SDK泄露 云平台所提供的对象存储服务，除了拥有多种 API 接外，还提供了丰富多样的SDK供开发者使。在SDK初始化阶段，开发者需要在SDK中配置存储桶名称、路径、地域等基本信息，并且需要配置云平台的永久密钥或临时密钥，这些信息将会被编写在SDK代码中以供应程序操作存储桶。但是，如果这些承载着密钥的代码段不慎泄露，如开发者误将源码上传公开仓库或者应开发商在为客户提供的演示示例中未对身SDK中凭据信息进删除，这些场景将会导致对象存储凭据泄露，进导致对象存储服务遭受侵，攻击者通过冒凭据所有者身份攻击对象存储服务。存储桶具配置件泄露 在对象存储服务使过程中，为了便户操作存储桶，官以及开源社区提供了量的对象存储客户端具以供户使，在使这些具时，先需要在具的配置件或配置项中填写存储服务相关信息以及户凭据，以便具与存储服务之间的交互。在某些攻击场景下，例如开发者个PC遭受钓攻击、开发者对象存储客户端具配置件泄露等，这些编写在存储服务具配置件中的凭据以及存储桶信息将会被泄露出来，攻击者可以通过分析这些配置件，从中获取凭据，在这些具中配置的，往往是户的云平台主API密钥，攻击者通过这些信息可以控制对象存储服务，在些严重的场景，攻击者甚可以控制户的所有云上资产。前端直传功能获取凭据 在些对象存储服务与Web开发以及移动开发相结合的场景中，开发者选择使前端直传功能来操作对象存储服务，前端直传功能指的是利iOS/Android/JavaScript等SDK通过前端直接向访问对象存储服务。前端直传功能，可以很好的节约后端服务器的带宽与负载，但为了实现此功能，需要开发者将凭据编写在前端代码中，虽然凭据存放于前端代码中，可以被攻击者轻易获取，但这并不代表此功能不安全，在使此功能时，只要遵守安全的开发规范，则可以保证对象存储服务的安全：正确的做法是使临时密钥永久密钥作为前端凭据，并且在成临时密钥时按照最权限原则进配置。但是实际应中，如果开发员并未遵循安全开发原则，例如错误的使了永久密钥，或为临时凭据配置了错误的权限，这将导致攻击者可以通过前端获取的凭据访问对象存储服务。攻击者通过分析前端代码，或者通过抓取流量的式，获得这些错误配置成的凭据，并以此发起攻击。Bucket公开访问 Bucket桶爆破 特定的Bucket策略配置 Bucket Object遍历 任意件上传与覆盖 AccessKeyId，SecretAccessKey泄露 反编译程序泄露AccessKey JS件中存在的AccessKey泄露 GitHubAccessKey泄露 Bucket劫持与域接管 存储桶的配置可写 修改Bucket策略为Deny使业务瘫痪 修改Bucket策略为Deny使业务瘫痪 Lambda函数执命令 共同攻击式 实例元数据服务未授权访问 云服务器实例元数据服务是种提供查询运中的实例内元数据的服务，云服务器实例元数据服务运在链路本地地址上，当实例向元数据服务发起请求时，该请求不会通过络传输，但是如果云服务器上的应存在RCE、SSRF等漏洞时，攻击者可以通过漏洞访问实例元数据服务。通过云服务器实例元数据服务查询，攻击者除了可以获取云服务器实例的些属性之外，更重要的是可以获取与实例绑定的拥有操作云服务的，并通过此获取云服务的控制权。这个地址的学名叫做链路本地地址，链路本地地址称连结本地位址，是计算机络中类特殊的地址，它仅供于在段，或播域中的主机相互通信使；这类主机通常不需要外部互联服务，仅有主机间相互通讯的需求。链路本地地址在IPv4链路本地地址定义在169.254.0.0/16这个地址块，因此家看到所涉及的这些云商，地址都是链路本地地址。元数据服务险，它存在于两个，个是平台侧、个是户侧。针对于户侧的攻击，攻击者通过标部署在云服务器实例上的应程序的漏洞。如说SSRF、RCE、任意件读取等漏洞。通过这些漏洞来访问服务器的元数据服务接，并且获得相应的数据以后续的攻击。实例解读 http:/x.x.x.x/?url=http:/169.254.169.254/latest/meta-data/iam/info站上它存在个SSRF漏洞，并且有回显，它存在url参数，后我们构造个payload来访问这个元数据服务，并且通过这个地址获取名称。当获取名称之后，我们通过名称信息进步的获取的临时凭据，攻击者可以继续通过SSRF漏洞来访问元数据服务接，获取历史凭据，通过的payload跟上个获得的名称很类似，但是这是相当于我们把名称传来获取此的历史凭据。攻击者发现，web应部署于AWS云服务器上。此外，攻击者发现应程序中存在了个SSRF漏洞。攻击者通过SSRF漏洞发起了内请求，然后成功地访问到了这台云服务器实例上的元数据服务接，并且它通过这个接成功地读到了个，并且通过这个拿到了这个的临时凭据。Aws地址：http:/169.254.169.254/latest/meta-data/Google Cloud地址：http:/metadata/computeMetadata/v1/Azure地址：http:/169.254.169.254/metadata/instance?api-version=2017-04-02Oracle Cloud地址：http:/169.254.169.254/opc/v1/instance/1234567攻击者拿到的这个，恰恰是应程序来调亚逊云上的对象存储的。因此，攻击者把这个历史凭据保存到了本地，并且成功的把存储桶中所有的户数据复制下载到本地，造成了个相当严重的影响。云平台账号法登录 云平台提供多种身份验证机制以供户登录，包括机验证、账号密码验证、邮箱验证等。在云平台登录环节，攻击者通过多种法进攻击以获取户的登录权限，并冒户身份法登录，具体的技术包括使弱令、使户泄露账号数据、骗取户登录机验证码、盗取户登录账号等。攻击者使获取到的账号信息进法登录云平台后，即可操作云服务。云平台主API密钥泄露 云平台主API 密钥重要性等同于户的登录密码，其代表了账号所有者的身份以及对应的权限。API 密钥由SecretId和SecretKey组成，户可以通过API密钥来访问云平台API进管理账号下的资源。在些攻击场景中，由于开发者不安全的开发以及配置，或者些针对设备的侵事件，导致云平台主API 密钥泄露，攻击者可以通过窃取到的云平台主API 密钥，冒账号所有者的身份侵云平台，法操作云服务。执 云服务器攻击式 通过控制台登录实例执 攻击者在初始访问阶段获取到平台登录凭据后，可以利平台凭据登录云平台，并直接使云平台提供的Web控制台登录云服务器实例，在成功登录实例后，攻击者可以在实例内部执命令。写userdata执命令 Userdata是云服务器为户提供的项定义数据服务，在创建云服务器时，户可以通过指定定义数据，进配置实例。当云服务器启动时，定义数据将以本的式传递到云服务器中，并执该本。通过这功能，攻击者可以修改实例userdata并向其中写待执的命令，这些代码将会在实例每次启动时动执。攻击者可以通过重启云服务器实例的式，加载userdata中命令并执。利后件执指令 攻击者在云服务器实例中部署后件的式有多种，例如通过Web应漏洞向云服务器实例上传后件、或是通过供应链攻击的式诱使标使存在后的恶意镜像，当后件部署成功后，攻击者可以利这些后件在云服务器实例上执命令。利应程序执 云服务器实例上部署的应程序，可能会直接或者间接的提供命令执功能，例如些服务器管理类应程序将直接提供在云服务器上执命令的功能，另些应，例如数据库服务，可以利些组件进命令执。当这些程序存在配置错误时，攻击者可以直接利这些应程序在云服务器实例上执命令。利SSH服务进实例执 云服务器Linux实例上往往运着SSH服务，当攻击者在初始访问阶段成功获取到有效的登录凭据后，即可通过SSH登录云服务器实例并进命令执。利远程代码执漏洞执 当云服务器上部署的应程序存在远程代码执漏洞时，攻击者将利此脆弱的应程序并通过编写相应的EXP来进远程命令执。容器攻击式 部署后容器 进容器执 利SSH服务进容器执 利远程代码执漏洞执 cos存储攻击式 共同攻击式 使云API执命令 攻击者利初始访问阶段获取到相应凭据后，可以通过向云平台API接发送 HTTP/HTTPS 请求，以实现与云服务的交互操作。云平台提供了丰富的API接以供户使，攻击者可以通过使这些API接并构造相应的参数，以此执对应的云服务操作指令。使云商具执 除了使云API接完成对云服务的执命令操作之外，还可以选择使具来化简通过API接使云服务的操作。在配置完成相关信息以及凭据后，攻击者可以使具执服务相应的操作名：通过执简单的命令指令来完成操作。持久化 云服务器攻击式 利远程控制软件 为了便管理云服务器实例，管理员有可能在实例中安装有远程控制软件，这种情况在windows实例中居多。攻击者可以在服务器中搜索此类远程控制软件，并获取连接凭据，进持久化。攻击者也可以在实例中安装远控软件以达成持久化的的。在userdata中添加后 攻击者可以利云服务器提供的userdata服务进持久化操作，攻击者可以通过调云API接的式在userdata中写后代码，每当服务器重启时，后代码将会动执，从实现了隐蔽的持久化操作的。这些场景中，攻击者可以在存储桶中存储的Web应代码内安插后代码或后件，并触发代码动化部署服务将后部署服务器以完成持久化操作。这些存储着恶意后将会持久的存在于Web应代码中，当服务器代码迁移时，这些后也将随着迁移到新的服务器上部署。在定义镜像库中导后镜像 在攻击者获取云服务器控制台权限后，可以对户定义镜像仓库中的镜像进导、删除等操作，攻击者可以将其构造的存在后的镜像上传户镜像仓库。此外，为了提攻击成功率，攻击者还可以使后镜像替换户镜像仓库中原有镜像。当户使后镜像进实例创建时，即可触发恶意代码以完成持久化操作。给现有的户分配额外的密钥 API密钥是构建腾讯云 API 请求的重要凭证，云平台运户创建多个API密钥，通过此功能，拥有API密钥管理权限的攻击者可以为账户下所有户分配个额外的API密钥，并使这些API密钥进攻击。建辅助账号登录 拥有访问