随着越来越多的企业组织将业务迁移到云计算环境之中,针对他们的网络犯罪分子也随之将目光瞄准云计算环境。了解最新的云攻击技术可以帮助企业组织更好地应对即将到来的威胁。
网络安全厂商WhiteHatSecurity公司首席技术官(CTO)AnthonyBettini在近日召开的RSA安全大会上的一个小组讨论中表示:
每当看到技术变革时,我认为您肯定也会看到泛滥成灾的网络攻击者,他们要么对技术变革进行攻击,要么驾驭变革浪潮。”当企业组织没有考虑这些威胁因素,而选择直接迁移至云环境时,很可能会搞得安全团队不知所措,从而致使其数据和流程面临严峻风险。
网络攻击者一直在寻找利用云计算技术进行攻击的新方法。以最近发现的“CloudSnooper”攻击为例,该攻击使用rootkit通过受害者的AmazonWebServices(AWS)环境和本地部署防火墙将恶意流量引入,然后再将远程访问木马程序植入到基于云计算的服务器上。随着这些问题的不断出现,许多犯罪分子都依赖经过实践检验的方法,例如强行使用凭据或访问存储在错误配置的S3存储桶中的数据。安全专家表示,企业云安全道阻且长,安全团队必须跟上技术发展的步伐。
在谈及云平台中的网络攻击链问题时,Securosis公司分析师兼DisruptOps公司首席信息安全官(CISO)RichMogull表示:
“当您要利用现有的安全技能并且要进入一个完全不同的环境时,务必先要弄清楚您真正需要关注的重点以及真实情况到底是什么,这将是一个巨大的挑战。”
接下来,我们将讨论其中一些常见的攻击链,以及其他云攻击技术,这些都是安全专业人士和网络犯罪分子的首要考虑因素。
1.凭证泄露导致帐户被劫持
导致帐户劫持的API凭据公开是云平台中的一个高危性攻击链。Mogull在RSA大会的演讲中表示:
“这种特殊的攻击确实是最常见的攻击类型之一。”
他表示,通过静态凭据(在AWS中,静态凭证是访问密钥和秘密密钥,它们类似于用户名和密码,但用于AWSAPI调用),攻击者可以伪装成用户登录账户并将资金转移出去,因为这些凭据通常用于登录并授权交易中的操作。而我们之所以必须使用这些密码,是因为用户希望某些内部部署数据中心在与云平台对话时,需要具备某种用户名/密码凭证的能力。
当攻击者获得其中一个访问密钥时,他们就可以在受其控制的主机或平台上使用它,并执行API调用以进行恶意操作或特权升级。这些密钥通常是通过GitHub、BitBucket、共享图像、快照公开等方式泄露。网络攻击者反编译GooglePlay商店应用程序并提取静态凭据,然后便可以使用这些凭据。有人可能会侵入开发人员的笔记本电脑或实例,并查看他们的命令历史记录或配置文件,以找到允许他们进入云计算环境的访问密钥。
Mogull表示:
“我认为,这确实是当今云攻击的大单一载体……是众多方法中的其中一种。尤其是公开发布内容。”
他建议,用户应该尽量减少使用其凭证,并在代码存储库和公司GitHub中进行扫描。因为一旦这些密钥公开暴露,网络攻击者只需几分钟就可以对您的基础架构进行尝试攻击。
2.配置错误
星巴克公司全球首席信息安全官(CISO)AndyKirkland在今年的CSA信息峰会上的一次演讲中表示,配置错误在很大程度上或至少部分是“影子IT的品牌重塑”。几乎任何人都可以得到一个S3存储桶,并随心所欲地使用它。与错误配置有关的网络攻击仍然会发生,因为企业组织经常无法保护其存储在公共云中的信息。
访问控制可能被设置为公共或匿名;存储桶策略或网络安全策略可能过于宽松;或将公共内容分发网络(CDN)设置为访问私有数据。面对这些情况,可以肯定的是,被放置在对象存储(ObjectStorage)中的敏感数据并没有得到适当的保护。网络攻击者通过扫描只要发现任何一个公开的数据存储,就能够轻松地提取他们想要的数据。
Mogull表示,这些默认值是安全的,但是可以很容易地将它们公开暴露。云计算提供商提供了减少这种情况的工具,但对于企业组织而言,这仍然是一个痛点。他建议,企业组织可以进行持续性评估,并特别注意对象级别权限:在更改存储桶级别权限时,并不总是更改对象级别权限。
他说:
“这些问题确实很难解决,因为有些企业组织在这些环境中有成千上万的对象,现在他们必须尝试找到它们。而好的办法是使用控件‘不要让任何人公开此信息’。”
如果确实需要公开某些内容,则可以配置环境,以使所有内容保持原状,但以后不能公开其他内容。
OracleCloud安全产品管理高级总监JohnnieKonstantas表示:
“越来越多的关键工作负载运行在公共云中。我认为……公共云提供商有责任开展这种对话并商谈一下接下来的发展计划。”
3.主流云计算服务是热门目标
随着越来越多的组织将业务迁移到云环境中,网络犯罪分子也将目光聚焦过来。这一点仿冒流行云计算服务(如Office365)登录页面的钓鱼攻击中表现得尤为明显。网络犯罪分子正在寻找能为他们提供访问云计算服务的凭据。
趋势科技公司全球威胁通信负责人JonClay表示:
“不幸的是,许多企业组织仍在使用安全性薄弱的凭据。使用凭证填充的部分原因是,网络攻击者开始用带有网络钓鱼页面的钓鱼邮件来定位云基础设施和帐户。”
Imperva公司在其最新发布的《网络威胁指数》调查报告中指出,网络犯罪分子正在更多地利用公共云子源,该报告发现,在2019年11月至2019年12月之间,源自公共云的Web攻击增加了16%。其中,AmazonWebServices(AWS)是最受欢迎的来源,在所有源自公共云的网络攻击中占据52.9%。
在另一个关于滥用主要云服务的问题上,研究人员报告了一种新的下载程序,主要用于下载远程访问木马和信息窃取程序。据Proofpoint报道称:
“GuLoader在多个威胁组织中越来越受欢迎,并且通常会将加密的有效载荷存储在GoogleDrive或MicrosoftOneDrive上。它经常被嵌入到容器文件中,例如.iso或.rar,除此之外,研究人员还发现它可以直接从云计算托管平台下载。”
4.加密货币挖矿(Cryptomining)
在进入云端之后,许多网络入侵者会继续进行加密货币挖矿活动:大多数企业面临的一种低威胁性、高可能性的攻击类型。Mogull表示,每个拥有云计算账户的人都遇到过这个问题。
这种攻击是如何实践的呢?网络攻击者可以获得RunInstance、虚拟机或容器的凭据,运行大型实例或虚拟机,运行并注入Cryptominer并连接到网络,然后对其结果进行筛选。或者,它们可能危害泄露的实例、虚拟机或容器,并在其中注入加密货币矿工(Cryptominer)。星巴克公司首席安全架构师ShawnHarris表示:
“在所有网络攻击中,有78%的网络攻击是由利益驱动的。而加密货币挖掘是一种通过访问获利的非常快速的方法。”
趋势科技公司的Clay表示,服务器仍然是好的加密平台,但是具有访问权限的攻击者正在采取措施隐瞒其活动。过去,攻击者习惯“抢夺系统上的所有东西”,这种张扬的方式很容易被受害者察觉。现在,他们学会了节制自己的行为,以躲避企业的监视。
5.服务器端请求伪造
服务器端请求伪造(SSRF),指的是利用漏洞伪造服务器端发起请求,从而突破客户端获取不到数据限制。这是一种危险的攻击方法,并且在云计算环境中日益严重。由于使用了元数据API,它允许应用程序访问底层云基础设施中的配置、日志、凭据和其他信息,这使得SSRF成为了一种威胁。元数据API只能在本地访问,但是,SSRF漏洞使它可以从Internet访问。一旦被利用,网络攻击者就有能力实现横向移动并进行网络侦察。
Mogull补充道,这是一种更加复杂的攻击类型。网络攻击者首先会识别出具有潜在服务器端请求伪造(SSRF)漏洞的实例或容器,并利用该实例或容器通过元数据服务提取凭据,然后在网络攻击者的环境中使用该凭据建立会话。自此,攻击者便可以执行API调用以提升特权或采取其他恶意措施。
不过,要使服务器端请求伪造((SSRF)成功,还必须完成一些工作:必须向Internet公开某些内容,它必须包含服务器端请求伪造(SSRF)漏洞,并且必须具有允许它在其他地方工作的身份和访问管理(IAM)权限。除此之外,它还必须要拥有元数据服务的一个版本。
6.云供应链中的缺口
Splunk公司高级副总裁兼安全市场总经理SongHaiyan认为,企业组织没有充分考虑将云数字供应链视为潜在的安全风险,也没有考虑事件响应在这种环境下的意义。
她解释称,我们使用的许多服务和应用程序……绝不仅仅是来自一家公司。例如,当您通过一个共享应用程序订购汽车时,会涉及到多个参与者:一家用于处理交易的支付公司,另一家提供GPS数据的公司。如果有人破坏了这个过程的一部分,将人送到了错误的地方,那么当所有这些API都由不同的供应商控制时,您将如何进行事件响应?
对此,SongHaiyan补充道,我们处于API经济之中。应用程序是使用API服务构建的,但是如果云中出现问题,则其背后的组织将需要适当的可见性和流程来处理它。是否具有服务级别协议(SLA)和事件响应程序?我们如何提供可见性和跟踪性?您知道你的服务提供者是谁吗?您了解他们的声誉现状吗?要知道,与信誉状况良好的供应商合作对您的企业将很有帮助。
7.暴力攻击和访问即服务(Access-as-a-Service)
对于趋势科技公司的Clay而言,暴力攻击是头等大事。他说,网络攻击者已经开始制作带有链接到与云计算基础设施和帐户相关的恶意页面的钓鱼邮件。弹出窗口可能会诱导受害者在仿冒Office365和其他云计算应用程序的虚假登录页面中输入其用户名和密码等信息。
网络威胁者都在寻找登录凭据。一些攻击者会使用该访问权限进行加密货币挖矿活动或寻找有价值的数据。还有一些攻击者什么也不用做:他们只需要在暗网上购买访问即服务(Access-as-a-Service)即可。网络攻击者可以访问企业组织的云计算环境,然后为另一个威胁小组管理该访问。例如,运营商Emotet可能会将其访问权出售给Sodinokibi或Ryuk勒索软件运营商。Clay指出,访问即服务(Access-as-a-Service)这种方式在勒索软件群体中非常流行,因为他们可以节省掉入侵目标企业的过程。
提供访问即服务(Access-as-a-Service)的人可以从犯罪团伙那里得到钱,而犯罪分子的钱又是从受害者那里获取的。随着这种方式逐渐流行开来,我们也将看到更少的恶意软件以及更多的直接性黑客攻击活动。