首页
社区
课程
招聘
[原创]网星安全AWS攻防方案,重磅发布!
发表于: 2024-9-23 15:34 1400

[原创]网星安全AWS攻防方案,重磅发布!

2024-9-23 15:34
1400

AWS介绍

AWS(Amazon Web Services) 是 Amazon 提供的云计算平台,提供了广泛的云服务,包括计算、存储、数据库、网络、安全、人工智能、大数据处理等功能,帮助企业和开发者构建、部署和管理应用程序。AWS 是全球最大的云服务提供商之一,广泛应用于各个行业,具有高扩展性、可靠性和安全性。


AWS风险

攻防视角下AWS,红队钟爱的“云控中心”,是快速获取数据、权限的理想跳板。

攻击路线(按照1,2,3的流程来进行攻击)

1、控制云上应用

2、应用内配置文件获取AK/SK

3、利用AK/SK接管目标AWS平台

4、创建新的管理员用户

5、使用SSM接管EC2实例

6、从EC2中提取凭证信息

7、控制EC2中运行的敏感系统


AWS风险案例

数据泄露仍是AWS安全的主题曲

数据泄露案例

1、Pegasus:存储桶配置不当泄漏6.5T数据

2、Capital One :SSRF漏洞获取EC2元数据至1亿数据泄漏

3、Verizon: S3存储桶配置公共访问导致600万数据泄露


AWS攻击面

1、身份与访问管理(IAM)

2、对象存储(S3)

3、云服务器(EC2)

4、云数据库(RDS/DynamoDB)

5、容器服务(ECS/EKS)

6、......


AWS攻击场景

1、身份与访问管理(IAM)

简介:IAM负责用户、角色和访问权限的管理。攻击者通常通过泄露的AK/SK,过度授予的权限来利用这些账户,获得访问权,并进一步滥用权限执行高风险操作。

  • AK/SK泄露
  • 过度授予的IAM权限
  • 未设置多因素认证(MFA)
  • 角色假冒与跨账户权限滥用
  • 过度开放的IAM角色和权限组合
  • IAM用户拥有多个访问密钥
  • ......

2、对象存储(S3)

简介:S3是用于存储和访问数据的服务,许多应用依赖它来存放文件。攻击者可以通过公开的存储桶或错误的权限设置,进行任意文件上传、下载或覆盖,甚至接管整个存储桶。

  • Bucket名称爆破与枚举
  • 任意文件上传与覆盖
  • 存储桶公共访问权限
  • S3 Bucket接管(CNAME绑定失效)
  • AK/SK泄露后的存储桶数据访问
  • Bucket Object遍历
  • Bucket策略配置可写
  • S3存储桶未启用加密
  • ......

3、云服务器(EC2)

简介:EC2提供可扩展的虚拟服务器来托管各种应用。攻击者可以通过利用未修补的漏洞,访问元数据服务获取凭证,或通过弱口令、公开端口进入服务器。

  • SSRF漏洞利用元数据服务
  • 公开的SSH/RDP端口暴露
  • 镜像投毒
  • 弱口令/未授权访问EC2实例
  • EBS卷访问控制不严格
  • EC2实例未配置IAM角色
  • 未启用日志记录与监控
  • 元数据服务滥用获取临时凭证
  • EC2实例上的命令执行漏洞
  • 利用临时存储获取敏感信息
  • ......

4、云数据库(RDS/DynamoDB)

简介:RDS和DynamoDB用于存储业务数据,常作为核心数据库系统。攻击者可以通过泄露的AK/SK或弱口令访问这些数据库,进行数据提取、篡改或控制数据库实例。

  • AK/SK泄露后的数据库访问
  • RDS弱口令/未授权访问
  • 公网访问的RDS实例
  • RDS数据库未加密
  • 数据库凭证配置文件泄露
  • API滥用修改RDS配置或创建用户
  • RDS实例未启用删除保护
  • ......

5、容器服务(ECS/EKS)

简介:ECS和EKS帮助用户管理和部署容器化应用。容器服务的核心挑战是隔离性,攻击者通过容器逃逸、恶意镜像、或不当的权限配置,突破隔离边界,获取主机或集群的控制权,甚至在整个容器集群内横向扩展其攻击。

  • 容器逃逸
  • EKS集群VPC终端节点暴露
  • 容器镜像投毒
  • EKS默认VPC使用
  • 容器进程共享和横向移动
  • 不当的容器镜像权限
  • ECS服务允许外部访问
  • Kubernetes API滥用进行权限提升
  • ......

6、......  (此省略号表述的是不止有5类服务,还有其他服务,暂不表述)


AWS实时检测/主动检测

实时监测

告警事件:

  • CloudTrail 日志记录已禁用
  • S3存储桶通过ACL公开
  • Route 53 域已转移到另一个帐户
  • 亚马逊机器映像修改为公开共享
  • 工具使用:终局之战
  • ......

行为事件:

  • 为 root 用户创建新的访问密钥
  • 恢复并重置root用户密码
  • 根用户 MFA 已删除
  • 通过 CLI 创建访问密钥
  • 用户手动删除RDS数据库
  • ......

主动监测

基线扫描:

  • EKS 集群 VPC 终端节点公开访问
  • 未启用 CloudTrail 日志记录
  • IAM 用户未配置多因素认证 (MFA)
  • IAM 策略允许附加完全管理权限 (*)
  • 启用虚拟 MFA 的 IAM 根账户
  • ......

应对的安全需求场景

  • 云平台风险识别
  • 云资产风险配置识别
  • 云账户权限最小化
  • 恶意工具利用分析
  • 异常行为监控
  • 异常账户分析
  • 云合规性要求



[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//