安全專家對網絡攻擊者針對企業云計算環境實施的常見和相關的攻擊方法進行了闡述和分析。
隨著越來越多的企業將業務遷移到云計算環境,尋求攻擊的網絡犯罪分子也是如此。而了解最新的攻擊技術可以幫助企業更好地應對未來的威脅。
安全廠商WhiteHat Security公司首席技術官Anthony Bettini在日前召開的RSA安全大會上的一個小組討論中說:“每當看到技術變革時,人們就會看到網絡攻擊泛濫成災,他們或者對技術變革進行攻擊,或者駕馭變革浪潮。”當企業在沒有考慮安全狀況的情況下而直接進入云平臺中時,其安全團隊可能不知所措,從而使數據和流程面臨風險。
網絡攻擊者一直在尋找利用云計算技術進行攻擊的新方法。以最近發現的“Cloud Snooper”攻擊為例,這一攻擊使用rootkit攻擊企業的AWS云平臺環境和內部部署防火墻,然后再將遠程訪問木馬軟件植入到基于云計算的服務器上。隨著這些問題的不斷出現,許多犯罪分子都采用經過實踐檢驗的方法,例如強行使用憑據或訪問存儲在錯誤配置的S3存儲桶中的數據。安全專家表示,企業的安全團隊還有很多事情要跟上技術發展的步伐。
Securosis公司首席信息安全官Rich Mogull在RSA大會上談到云平臺中的網絡攻擊鏈時說,“當企業要利用現有的安全技能并且要進入一個完全不同的環境時,要弄清楚需要關注的重點以及真實情況到底是什么,這將是一個巨大的挑戰。”
以下將討論其中一些常見的攻擊鏈以及其他云計算攻擊技術,這些都是安全專家和網絡犯罪分子的首要考慮因素。
1.憑證泄露導致帳戶被劫持
導致帳戶劫持的API憑據公開是云平臺中的一個高嚴重性的攻擊鏈。Mogull表示,這種攻擊確實是最常見的攻擊之一。
靜態憑據是指用戶訪問密鑰或Azure中的軟件即服務(SaaS)令牌等。他解釋說:“我們之所以必須使用這些密碼,是因為用戶希望某些內部部署數據中心在與云平臺對話時,需要具備某種用戶名/密碼憑證的能力。”
當網絡攻擊者獲得其中一個訪問密鑰時,他們可以在受其控制的主機或平臺上使用它,并執行API調用以進行惡意操作或特權升級。這些密鑰通常是通過GitHub、BitBucket、共享圖像、快照公開等方式泄露。網絡攻擊者反編譯Google Play商店應用并提取靜態憑據,然后使用這些憑據。有人可能會侵入開發人員的筆記本電腦或實例,并查看他們的命令歷史記錄或配置文件,以找到允許他們進入云計算環境的訪問密鑰。
Mogull說:“我認為,這確實是當今云計算攻擊的最大載體,這是其中一種方法。尤其是公開發布內容。”他建議,用戶盡量減少使用其憑證,并在代碼存儲庫和公司GitHub中進行掃描。因為一旦這些密鑰對外泄露,網絡攻擊者只需幾分鐘就可以嘗試對其基礎設施進行攻擊。
2.配置錯誤
星巴克公司全球首席信息安全官Andy Kirkland在今年的RSA信息峰會上的一次演講中表示,配置錯誤在很大程度上或至少部分是“影子IT的品牌重塑”。幾乎任何人都可以得到一個S3存儲桶,并隨心所欲地使用。而與錯誤配置有關的網絡攻擊仍然會發生,因為企業經常無法保護其在公共云中的信息。
在這種情況下,敏感數據被放置在對象存儲中,并且沒有得到適當的保護。訪問控制可以設置為公共或匿名;存儲桶策略或網絡安全策略可能過于寬松;或將公共內容分發網絡(CDN)設置為私有數據。網絡攻擊者掃描并發現一個打開的數據存儲,然后提取他們想要的數據。
Mogull說,“這些默認值是安全的,但是可以很容易地將它們公開。”云計算提供商提供了減少這種情況的工具,但這仍然會給企業帶來痛苦。他建議進行持續評估,并特別注意對象級別權限:在更改存儲桶級別權限時,并不總是更改對象級別權限。
他說:“這種問題確實很難解決,因為有些企業在這些環境中有成千上萬的對象,現在他們必須通過嘗試并找到它們。最好的辦法是使用控件不要讓任何人公開此信息。”
Mogull表示,如果確實需要公開某些內容,則可以配置環境,以使所有內容保持原狀,但以后不能公開其他內容。
Oracle Cloud安全產品管理高級總監Johnnie Konstantas說,“越來越多的關鍵工作負載運行在公共云中。我認為,公共云提供商有責任進行這種對話并談論其內容。”
3.主要的云計算服務是熱門目標
隨著越來越多的組織遷移到云平臺中,網絡攻擊者也在這樣做。這在模擬流行云計算服務(如Office 365)的登錄頁面的釣魚攻擊中很明顯。網絡罪犯正在尋找能給他們提供云計算服務密鑰的憑據。
趨勢科技公司全球威脅通信負責人說:“不幸的是,許多企業仍然使用安全性薄弱的憑據。使用憑證填充的部分原因是,網絡攻擊者開始將具有網絡釣魚頁面與網絡基礎設施和帳戶聯系的網絡釣魚電子郵件進行定位。”
Imperva公司在其最近發布的《網絡威脅指數》調查報告指出,網絡犯罪分子正在更多地利用公共云,該報告發現在2019年11月至2019年12月之間源自公共云的網絡攻擊增加了16%。亞馬遜網絡服務是最受歡迎的來源,所有網絡攻擊中有52.9%來自公共云。Imperva公司提供了這些統計信息,他說這表明云計算提供商應審核其平臺上的惡意行為。
在另一個關于濫用主要云服務的問題上,研究人員報告了一種新的下載程序,主要用于下載遠程訪問特洛伊木馬和信息竊取程序。據Proofpoint報道,“GuLoader在多個威脅組織中越來越受歡迎,通常會將加密的有效載荷存儲在Google Drive或Microsoft OneDrive上。它經常被嵌入到容器文件中,比如.iso或.rar,但是研究人員也看到它直接從云計算托管平臺下載。”
4.加密挖礦
當他們進入云端時,許多網絡攻擊者繼續從事加密挖礦:大多數企業面臨的是嚴重性較低的攻擊。Mogull說,“每個擁有云計算賬戶的人都處理過這個問題。”
網絡攻擊者可以獲得RunInstance、虛擬機或容器的憑據、運行大型實例或虛擬機,運行并注入Cryptominer并連接到網絡,然后對其結果進行篩選。或者,它們可能危害泄露的實例、虛擬機或容器,并在其中注入Cryptominer。
星巴克公司首席安全架構師Shawn Harris說,“78%的網絡攻擊都是由財務驅動的,這是一種通過訪問獲利的非常快速的方法。”
趨勢科技公司的Clay指出,服務器仍然是最好的加密平臺,但是具有訪問權限的攻擊者正在采取措施隱瞞其活動,以躲避企業的監視。
5.服務器端請求偽造
服務器端請求偽造(SSRF)是一種危險的攻擊方法,也是云計算環境中日益嚴重的問題。SSRF使用了元數據API,它允許應用程序訪問底層云基礎設施中的配置、日志、憑據和其他信息。元數據API只能在內部部署數據中心訪問,但是,SSRF漏洞使它可以從全球互聯網訪問。如果受到網絡攻擊,網絡攻擊者可以橫向移動并進行網絡偵察。
Mogull說,這是一次更加復雜的攻擊。網絡攻擊者首先識別出具有潛在服務器端請求偽造(SSRF)漏洞的實例或容器,利用該實例或容器通過元數據服務提取憑據,然后在網絡攻擊者的環境中使用憑據建立會話。網絡攻擊者在那里可以執行API調用以提升特權或采取其他惡意措施。
要使服務器端請求偽造(SSRF)成功,必須做一些事情:必須向全球互聯網公開某些內容,它必須包含服務器端請求偽造(SSRF)漏洞,并且必須具有允許它在其他地方工作的身份和訪問管理(IAM)權限。他補充說,現在必須具有元數據服務的一個版本。
6.云計算供應鏈中的差距
Splunk公司高級副總裁兼安全市場總經理Song Haiyan認為,企業沒有充分考慮將云計算數字供應鏈視為潛在的安全風險,也沒有考慮在這種環境下事件響應的影響。
她解釋說:“我們使用的許多服務和應用程序不僅僅是來自一家公司。”例如,當采用一個共享應用程序訂購汽車時,會涉及到多個參與者:一家支付公司處理交易,另一家提供GPS數據。如果有人破壞了這個過程的一部分,那么當所有這些API都由不同的供應商控制時,將如何處理事件響應?
Song Haiyan補充說:“我們處于API經濟中。”應用程序是使用API服務構建的,但是如果云中出現問題,則其背后的組織將需要適當的可見性和流程來處理它。是否具有服務級別協議(SLA)和事件響應安排?如何提供可見性和跟蹤性?知道提供者是誰嗎?能了解他們的聲譽嗎?她補充說:“企業與狀況良好的供應商合作很有幫助。”
7.強力攻擊和訪問即服務
對于Clay而言,強力攻擊是首要大事。他說,網絡攻擊者已開始制作帶有鏈接到與云計算基礎設施和帳戶相關的惡意頁面的釣魚郵件。彈出窗口可能會提示受害者在Office 365和其他云計算應用程序的虛假登錄頁面中輸入其用戶名和密碼。
他說:“他們都在尋找證書。”一些網絡攻擊者使用該訪問權限進行加密挖礦或尋找數據。Clay看到的一種發展趨勢是暗網上的訪問即服務的銷售。網絡攻擊者可以訪問組織的云計算環境,然后為另一個威脅組管理該訪問。例如,運營商Emotet公司可能會將其訪問權出售給Sodinokibi或Ryuk勒索軟件運營商。Clay指出,很多勒索軟件團體都在采用這種技術。
責任編輯;ct
評論
查看更多