Fireglass技术击垮AWS CloudTrail

日期:2016-8-29作者:Rob Wright翻译:崔婧雯 来源:TechTarget中国 英文

【TechTarget中国原创】

Fireglass的高管在Black Hat 2016 session里展示了一些技术,这些技术让黑客可以在Amazon Web Services环境里操纵AWS CloudTrail并且不会被发现。

Fireglass的联合创始人和CTO Dan Amiga以及安全研究团队领导人Dor Knafo列举了一些入侵AWS环境的方法,这些方法让黑客在完成攻击的同时能够消除入侵AWS CloudTrail,Amazon的安全监控服务的痕迹。Amiga说这些“用户故障传播”包括简单的钓鱼攻击,以及在源码仓库,比如GitHub和Bitbucket里暴露AWS加密秘钥。他还详细介绍了直接感染的类型,比如管理员部署没有完整扫描的“有毒的”Amazon机器镜像,或者黑客获得了云实例元数据,并且借助其获得某个环境的访问权限。

但是直接感染的另外一种重要来源,Fireglass称之为AWS账号跳跃。Amiga说因为Amazon向小型创业企业提供财务刺激政策——有时候多达15万美元,来促进他们转向AWS,当这些创业企业要么关闭要么缩小规模时,AWS账号可能会被出售给那些想要得到打折价格的AWS实例的其他公司。

“这有点像黑市。你可以用10万美元购买一个AWS账号,这比Amazon的正常价格便宜”Amiga说。“你可以省很多钱,但是问题是在AWS里没有重置按钮。如果你已经购买了一个账号……你没有办法扫描并且检查所有数据中心,所有区域以及所有API。”

因此,AWS账号的新主人可能会暴露在漏洞、恶意软件的攻击下,或者更为糟糕地,暴露在环境里潜伏的更严重的持久危险下。

Amiga和Knafo还详细介绍了APT能够使用的技术,通过访问,操纵以及删除CloudTrail数据来驻留在防护良好的AWS账号内。一些技术,比如使用API调用来删除或者停止CloudTrail配置,可能会引起管理员的注意。但是,其他方法,则更加难以发现,Amiga说。

例如,在Fireglass的研究报告里详细介绍的,黑客可以为除了账户的home region的所有region关闭CloudTrail,该region的管理员可能并不会注意到。黑客还可以更新Amazon S3 bucket生命周期配置,在一天后删除CloudTrail文件。第三个选择是利用AWS Lambda,Amazon自己的事件驱动计算服务来攻击环境本身。

“可以搭建一个lambda立刻删除写入到这个S3 bucket的所有日志文件,”Fireglass的研究报告宣传。“Lambda功能由S3直接调用,它能够赢得和其他尝试消费写入到bucket的文件的代码之间的竞争,让他们都不可见。”

要抵御这些类型的攻击,Amiga提供了一些方向,包括分隔环境,以及加密敏感数据,同时密切关注AWS安全服务。

“小心关注CloudTrail以及所有不同的CloudWatch通知,”Amiga说。“假定你的环境可能会被瓦解,就像Code Spaces一样。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Rob Wright
Rob Wright

网站编辑

云的数据隐私>更多

  • 亚马逊EC2专用主机可提供哪些安全优势?

    亚马逊弹性计算云实例有两种不同的配置:亚马逊EC2专用主机和专用实例。与在共享服务器上运行的基本EC2实例相比,这两种配置都提供了额外的安全措施。

  • AWS监控归根到底是工具的选择

    AWS有一系列专为其公有云能够变得更易于管理而开发的扩展功能和特性。AWS config、AWS CloudTrail和亚马逊Inspector是能够帮助管理人员处理监控AWS安全和资源配置的三个相关服务。

  • 云迁移面临遗留安全工具挑战

    专为数据中心设计的传统安全工具是无法在云环境中正常运行的。根据安全管理人员的说法,这需要新的方法。本文讲述了企业该如何在夹缝中生存。

  • 云安全仍是阻碍:天御系统能否推倒这一座“大山”

    据统计, 云计算的投入正在以每年20%的增长率增长着。然而,云安全性仍然是阻碍云技术采用的主要障碍,来自LinkedIn信息安全社区报告显示,且相比2015年的45%,2016年安全是云采用的头号障碍的企业已经上升至59%。

相关推荐

  • AWS监控归根到底是工具的选择

    AWS有一系列专为其公有云能够变得更易于管理而开发的扩展功能和特性。AWS config、AWS CloudTrail和亚马逊Inspector是能够帮助管理人员处理监控AWS安全和资源配置的三个相关服务。

  • IBM云战略:进展与改进并存

    在市场辨识度竞争中,IBM落后于Amazon Web Services和Microsoft Azure,但是,随着云计算的演进,仍然存在一些场景里IBM可能成为主要,甚至统治级的选手。

  • AWS新型HDD存储选项:大数据工作负载预测你也可以

    Amazon Web Services(AWS)宣布两个全新 Amazon Elastic Block Store (Amazon EBS) 低成本的硬盘 (HDD) 型存储选项上市,以大数据集、大输入/输出 (I/O) 块和序列 I/O 的模式,向客户提供面向吞吐量密集和大数据工作负载的可预测性能。

  • 云迁移工具:AWS Snowball和Amazon Kinesis Firehose

    在 AWS re:Invent 大会上,亚马逊公司旗下的 Amazon Web Services(AWS) 发布两项新功能,帮助客户更快速和更经济划算地向 AWS 云迁移任意类型和规模的数据。

技术手册>更多

  • 企业私有云架构构建指南

    由于云计算所带来的好处和虚拟化的本质局限的原因,云计算几乎吸引了所有的眼球。虚拟化主要关注其本身和虚拟机(VM),虚拟机的性能以及一旦物理服务器实现虚拟化后所能实现的功能。与之不同,私有云计算的范围更为广泛,它并不仅仅关注虚拟机本身,而且还包括托管虚拟机的整个基础设施。本文将介绍私有云的优势以及如何构建私有云架构。

  • 亚马逊Web服务功能概览手册

    根据Gartner去年后半年发布的报告来看,目前为止,亚马逊Web服务(AWS)仍旧是基础架构即服务(IaaS)世界的主宰者。AWS系统化的解决了主流企业应用面临的问题,2013年的确很精彩,竞争者不断逼近,但是AWS仍旧占据绝对优势。AWS现在对于开发合作伙伴生态环境想法多多。市场上有个特别有意思的比喻,说“亚马逊就是金刚,但是现在是金刚和他的小伙伴们。”现在基本上所有的主要的IT服务提供商和主要IT厂商都是充满了吸引力的合作伙伴候选。现在很多客户也认为如果你有一个精通AWS技能的人才,做事情就会快得多,在云端也会更加如鱼得水。

  • 多云战略与管理

    一个多云战略可以让用户充分发挥每个云产品的优势来满足每一个业务需求,但是这样一个战略也会引入一定的复杂性。在一个多云模式中,很容易就会陷入失控的状态;用户一个不小心就会错失整个价值主张。但如果有了合适的预防措施,那么一个多云战略将给用户带来许多的红利。

  • 开源云管理工具最佳实践

    一直以来,开源都被视为云计算的未来。除了明显的成本效益,开源云计算在扩展性能上极具优势,而且,一些开源项目和开源工具已经走在了云管理工具开发的前列。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心