Fireglass技术击垮AWS CloudTrail

日期:2016-8-29作者:Rob Wright翻译:崔婧雯来源:TechTarget中国 英文

【TechTarget中国原创】

Fireglass的高管在Black Hat 2016 session里展示了一些技术,这些技术让黑客可以在Amazon Web Services环境里操纵AWS CloudTrail并且不会被发现。

Fireglass的联合创始人和CTO Dan Amiga以及安全研究团队领导人Dor Knafo列举了一些入侵AWS环境的方法,这些方法让黑客在完成攻击的同时能够消除入侵AWS CloudTrail,Amazon的安全监控服务的痕迹。Amiga说这些“用户故障传播”包括简单的钓鱼攻击,以及在源码仓库,比如GitHub和Bitbucket里暴露AWS加密秘钥。他还详细介绍了直接感染的类型,比如管理员部署没有完整扫描的“有毒的”Amazon机器镜像,或者黑客获得了云实例元数据,并且借助其获得某个环境的访问权限。

但是直接感染的另外一种重要来源,Fireglass称之为AWS账号跳跃。Amiga说因为Amazon向小型创业企业提供财务刺激政策——有时候多达15万美元,来促进他们转向AWS,当这些创业企业要么关闭要么缩小规模时,AWS账号可能会被出售给那些想要得到打折价格的AWS实例的其他公司。

“这有点像黑市。你可以用10万美元购买一个AWS账号,这比Amazon的正常价格便宜”Amiga说。“你可以省很多钱,但是问题是在AWS里没有重置按钮。如果你已经购买了一个账号……你没有办法扫描并且检查所有数据中心,所有区域以及所有API。”

因此,AWS账号的新主人可能会暴露在漏洞、恶意软件的攻击下,或者更为糟糕地,暴露在环境里潜伏的更严重的持久危险下。

Amiga和Knafo还详细介绍了APT能够使用的技术,通过访问,操纵以及删除CloudTrail数据来驻留在防护良好的AWS账号内。一些技术,比如使用API调用来删除或者停止CloudTrail配置,可能会引起管理员的注意。但是,其他方法,则更加难以发现,Amiga说。

例如,在Fireglass的研究报告里详细介绍的,黑客可以为除了账户的home region的所有region关闭CloudTrail,该region的管理员可能并不会注意到。黑客还可以更新Amazon S3 bucket生命周期配置,在一天后删除CloudTrail文件。第三个选择是利用AWS Lambda,Amazon自己的事件驱动计算服务来攻击环境本身。

“可以搭建一个lambda立刻删除写入到这个S3 bucket的所有日志文件,”Fireglass的研究报告宣传。“Lambda功能由S3直接调用,它能够赢得和其他尝试消费写入到bucket的文件的代码之间的竞争,让他们都不可见。”

要抵御这些类型的攻击,Amiga提供了一些方向,包括分隔环境,以及加密敏感数据,同时密切关注AWS安全服务。

“小心关注CloudTrail以及所有不同的CloudWatch通知,”Amiga说。“假定你的环境可能会被瓦解,就像Code Spaces一样。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Rob Wright
Rob Wright

网站编辑

云的数据隐私>更多

  • 亚马逊EC2专用主机可提供哪些安全优势?

    亚马逊弹性计算云实例有两种不同的配置:亚马逊EC2专用主机和专用实例。与在共享服务器上运行的基本EC2实例相比,这两种配置都提供了额外的安全措施。

  • 云迁移面临遗留安全工具挑战

    专为数据中心设计的传统安全工具是无法在云环境中正常运行的。根据安全管理人员的说法,这需要新的方法。本文讲述了企业该如何在夹缝中生存。

  • 云安全仍是阻碍:天御系统能否推倒这一座“大山”

    据统计, 云计算的投入正在以每年20%的增长率增长着。然而,云安全性仍然是阻碍云技术采用的主要障碍,来自LinkedIn信息安全社区报告显示,且相比2015年的45%,2016年安全是云采用的头号障碍的企业已经上升至59%。

  • 云IAM市场进化应对新老IT挑战

    云身份和访问管理(IAM)市场估值约为6亿美金,并预计在2017年将增长到10亿美金,Gregg Kreizman,Gartner分析机构的研究副总裁说道。

相关推荐

  • AWS监控归根到底是工具的选择

    AWS有一系列专为其公有云能够变得更易于管理而开发的扩展功能和特性。AWS config、AWS CloudTrail和亚马逊Inspector是能够帮助管理人员处理监控AWS安全和资源配置的三个相关服务。

  • IBM云战略:进展与改进并存

    在市场辨识度竞争中,IBM落后于Amazon Web Services和Microsoft Azure,但是,随着云计算的演进,仍然存在一些场景里IBM可能成为主要,甚至统治级的选手。

  • AWS新型HDD存储选项:大数据工作负载预测你也可以

    Amazon Web Services(AWS)宣布两个全新 Amazon Elastic Block Store (Amazon EBS) 低成本的硬盘 (HDD) 型存储选项上市,以大数据集、大输入/输出 (I/O) 块和序列 I/O 的模式,向客户提供面向吞吐量密集和大数据工作负载的可预测性能。

  • 云迁移工具:AWS Snowball和Amazon Kinesis Firehose

    在 AWS re:Invent 大会上,亚马逊公司旗下的 Amazon Web Services(AWS) 发布两项新功能,帮助客户更快速和更经济划算地向 AWS 云迁移任意类型和规模的数据。

技术手册>更多

  • 企业私有云选型完全手册

    虽然云计算发展的春天已经来临,但是众多企业仍然希望保持对IT环境和物理资源的控制。通常情况下,法律或法规会阻止企业实施从数据中心到公共云计算的转变。这就成全了私有云计算,它允许企业在本地管理硬件,同时又允许最终用户远程访问基础设施的下一个逻辑步骤。尽管每个IT环境都是独一无二的,但是对你的私有云计算项目实现从规划到投产有很多可供借鉴的最佳实践案例,其中包括选择正确的管理程序、软硬件以及合适的广域网和宽带技术。在这本技术手册中,我们将会关注企业私有云选型以及如何落地。

  • 开源云管理工具最佳实践

    一直以来,开源都被视为云计算的未来。除了明显的成本效益,开源云计算在扩展性能上极具优势,而且,一些开源项目和开源工具已经走在了云管理工具开发的前列。

  • 不可不知的云加密

    对很多组织来说,适当的在云中加密数据,安全的创建并保留加密密钥,还有在理论上,防止任何云供应商的管理人员访问这些密钥等需求,在任何的云计算环境里,尤其是基础架构即服务(IaaS)领域方面,都是一些最抢手最重要的安全机制。

  • 企业应用迁移到云中规划实践指南

    云计算迁移的一个最主要的好处就是成本优化。大部分的企业采用云计算技术的时候可以看到他们花费在IT上的一个性质的转换。那么企业应用向云中迁移过程中有哪些技巧呢?

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心