Fireglass技术击垮AWS CloudTrail

日期:2016-8-29作者:Rob Wright翻译:崔婧雯 来源:TechTarget中国 英文

【TechTarget中国原创】

Fireglass的高管在Black Hat 2016 session里展示了一些技术,这些技术让黑客可以在Amazon Web Services环境里操纵AWS CloudTrail并且不会被发现。

Fireglass的联合创始人和CTO Dan Amiga以及安全研究团队领导人Dor Knafo列举了一些入侵AWS环境的方法,这些方法让黑客在完成攻击的同时能够消除入侵AWS CloudTrail,Amazon的安全监控服务的痕迹。Amiga说这些“用户故障传播”包括简单的钓鱼攻击,以及在源码仓库,比如GitHub和Bitbucket里暴露AWS加密秘钥。他还详细介绍了直接感染的类型,比如管理员部署没有完整扫描的“有毒的”Amazon机器镜像,或者黑客获得了云实例元数据,并且借助其获得某个环境的访问权限。

但是直接感染的另外一种重要来源,Fireglass称之为AWS账号跳跃。Amiga说因为Amazon向小型创业企业提供财务刺激政策——有时候多达15万美元,来促进他们转向AWS,当这些创业企业要么关闭要么缩小规模时,AWS账号可能会被出售给那些想要得到打折价格的AWS实例的其他公司。

“这有点像黑市。你可以用10万美元购买一个AWS账号,这比Amazon的正常价格便宜”Amiga说。“你可以省很多钱,但是问题是在AWS里没有重置按钮。如果你已经购买了一个账号……你没有办法扫描并且检查所有数据中心,所有区域以及所有API。”

因此,AWS账号的新主人可能会暴露在漏洞、恶意软件的攻击下,或者更为糟糕地,暴露在环境里潜伏的更严重的持久危险下。

Amiga和Knafo还详细介绍了APT能够使用的技术,通过访问,操纵以及删除CloudTrail数据来驻留在防护良好的AWS账号内。一些技术,比如使用API调用来删除或者停止CloudTrail配置,可能会引起管理员的注意。但是,其他方法,则更加难以发现,Amiga说。

例如,在Fireglass的研究报告里详细介绍的,黑客可以为除了账户的home region的所有region关闭CloudTrail,该region的管理员可能并不会注意到。黑客还可以更新Amazon S3 bucket生命周期配置,在一天后删除CloudTrail文件。第三个选择是利用AWS Lambda,Amazon自己的事件驱动计算服务来攻击环境本身。

“可以搭建一个lambda立刻删除写入到这个S3 bucket的所有日志文件,”Fireglass的研究报告宣传。“Lambda功能由S3直接调用,它能够赢得和其他尝试消费写入到bucket的文件的代码之间的竞争,让他们都不可见。”

要抵御这些类型的攻击,Amiga提供了一些方向,包括分隔环境,以及加密敏感数据,同时密切关注AWS安全服务。

“小心关注CloudTrail以及所有不同的CloudWatch通知,”Amiga说。“假定你的环境可能会被瓦解,就像Code Spaces一样。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Rob Wright
Rob Wright

网站编辑

云的数据隐私>更多

  • 如何发现和预防man-in-the-cloud攻击

    多年来,越来越多的信息已经转移到并存储在许多云平台中。Dropbox,Microsoft OneDrive和Google Drive等服务让这样的过程变得很容易。

  • 云日志安全事件如何高效管理?

    随着开发和运营团队不断把资源迁移向云端,企业对于基于云的服务也使用越来越多,致使安全团队不得不时刻准备应用对不预期的问题——大量新的预警和事件。

  • 亚马逊EC2专用主机可提供哪些安全优势?

    亚马逊弹性计算云实例有两种不同的配置:亚马逊EC2专用主机和专用实例。与在共享服务器上运行的基本EC2实例相比,这两种配置都提供了额外的安全措施。

  • AWS监控归根到底是工具的选择

    AWS有一系列专为其公有云能够变得更易于管理而开发的扩展功能和特性。AWS config、AWS CloudTrail和亚马逊Inspector是能够帮助管理人员处理监控AWS安全和资源配置的三个相关服务。

相关推荐

  • AWS监控归根到底是工具的选择

    AWS有一系列专为其公有云能够变得更易于管理而开发的扩展功能和特性。AWS config、AWS CloudTrail和亚马逊Inspector是能够帮助管理人员处理监控AWS安全和资源配置的三个相关服务。

  • IBM云战略:进展与改进并存

    在市场辨识度竞争中,IBM落后于Amazon Web Services和Microsoft Azure,但是,随着云计算的演进,仍然存在一些场景里IBM可能成为主要,甚至统治级的选手。

  • AWS新型HDD存储选项:大数据工作负载预测你也可以

    Amazon Web Services(AWS)宣布两个全新 Amazon Elastic Block Store (Amazon EBS) 低成本的硬盘 (HDD) 型存储选项上市,以大数据集、大输入/输出 (I/O) 块和序列 I/O 的模式,向客户提供面向吞吐量密集和大数据工作负载的可预测性能。

  • 云迁移工具:AWS Snowball和Amazon Kinesis Firehose

    在 AWS re:Invent 大会上,亚马逊公司旗下的 Amazon Web Services(AWS) 发布两项新功能,帮助客户更快速和更经济划算地向 AWS 云迁移任意类型和规模的数据。

技术手册>更多

  • 移动云服务设计

    最好的移动设备管理策略将涉及手持终端中的托管移动设备代理功能,它需要得到设备制造商的支持和采购方的同意。这个代理能够监控设备、通知不寻常状态的所有者、在应用上实施政策以及为企业用户应用文件。

  • SDN技术特刊

    SDN是一种网络防御计划,它能够大大提高网络发现、预防和对抗安全威胁的能力,制定企业的整体安全策略,是建立"自防御网络"的基础。随着网络技术不断地发展,网络安全要从以前被动的方式有所转变,在以前,企业不断在已有的计算机网络上不断添加防火墙,网络入侵检测设备,主机防病毒产品,网络身份认证系统,网络管理系统等等,其目的就是要加强网络的安全性。

  • 企业私有云架构构建指南

    由于云计算所带来的好处和虚拟化的本质局限的原因,云计算几乎吸引了所有的眼球。虚拟化主要关注其本身和虚拟机(VM),虚拟机的性能以及一旦物理服务器实现虚拟化后所能实现的功能。与之不同,私有云计算的范围更为广泛,它并不仅仅关注虚拟机本身,而且还包括托管虚拟机的整个基础设施。本文将介绍私有云的优势以及如何构建私有云架构。

  • 云中虚拟机配置与保护措施教程

    如何为私有云选择正确的虚拟机,我们分析每一个虚拟机和服务所用的资源,还要检查把这些资源移向云中的风险。有了正确的调查,就可以找到最好的资源和服务,并且可以相对容易的部署到私有云中。部署好了之后,云端虚拟机的安全如何保证与管理又成为问题,保证了正常运转与管理之后,随着业务发展,在云端,虚拟机蔓延该如何控制呢?在这本技术手册中我们将一一为您解答。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心