AWS介绍
AWS(Amazon Web Services) 是 Amazon 提供的云计算平台,提供了广泛的云服务,包括计算、存储、数据库、网络、安全、人工智能、大数据处理等功能,帮助企业和开发者构建、部署和管理应用程序。AWS 是全球最大的云服务提供商之一,广泛应用于各个行业,具有高扩展性、可靠性和安全性。
AWS风险
攻防视角下AWS,红队钟爱的"云控中心",是快速获取数据、权限的理想跳板。
攻击路线(按照1,2,3的流程来进行攻击)
bash
1、控制云上应用
2、应用内配置文件获取AK/SK
3、利用AK/SK接管目标AWS平台
4、创建新的管理员用户
5、使用SSM接管EC2实例
6、从EC2中提取凭证信息
7、控制EC2中运行的敏感系统AWS风险案例
| 数据泄露仍是AWS安全的主题曲 | |
|---|---|
数据泄露案例
bash
1、Pegasus:存储桶配置不当泄漏6.5T数据
2、Capital One :SSRF漏洞获取EC2元数据至1亿数据泄漏
3、Verizon: S3存储桶配置公共访问导致600万数据泄露AWS攻击面
1、身份与访问管理(IAM)
2、对象存储(S3)
3、云服务器(EC2)
4、云数据库(RDS/DynamoDB)
5、容器服务(ECS/EKS)
6、......
AWS攻击场景
1、身份与访问管理(IAM)
简介:IAM负责用户、角色和访问权限的管理。攻击者通常通过泄露的AK/SK,过度授予的权限来利用这些账户,获得访问权,并进一步滥用权限执行高风险操作。
AK/SK泄露
过度授予的IAM权限
未设置多因素认证(MFA)
角色假冒与跨账户权限滥用
过度开放的IAM角色和权限组合
IAM用户拥有多个访问密钥
......
2、对象存储(S3)
简介:S3是用于存储和访问数据的服务,许多应用依赖它来存放文件。攻击者可以通过公开的存储桶或错误的权限设置,进行任意文件上传、下载或覆盖,甚至接管整个存储桶。
Bucket名称爆破与枚举
任意文件上传与覆盖
存储桶公共访问权限
S3 Bucket接管(CNAME绑定失效)
AK/SK泄露后的存储桶数据访问
Bucket Object遍历
Bucket策略配置可写
S3存储桶未启用加密
......
3、云服务器(EC2)
简介:EC2提供可扩展的虚拟服务器来托管各种应用。攻击者可以通过利用未修补的漏洞,访问元数据服务获取凭证,或通过弱口令、公开端口进入服务器。
SSRF漏洞利用元数据服务
公开的SSH/RDP端口暴露
镜像投毒
弱口令/未授权访问EC2实例
EBS卷访问控制不严格
EC2实例未配置IAM角色
未启用日志记录与监控
元数据服务滥用获取临时凭证
EC2实例上的命令执行漏洞
利用临时存储获取敏感信息
......
4、云数据库(RDS/DynamoDB)
简介:RDS和DynamoDB用于存储业务数据,常作为核心数据库系统。攻击者可以通过泄露的AK/SK或弱口令访问这些数据库,进行数据提取、篡改或控制数据库实例。
AK/SK泄露后的数据库访问
RDS弱口令/未授权访问
公网访问的RDS实例
RDS数据库未加密
数据库凭证配置文件泄露
API滥用修改RDS配置或创建用户
RDS实例未启用删除保护
......
5、容器服务(ECS/EKS)
简介:ECS和EKS帮助用户管理和部署容器化应用。容器服务的核心挑战是隔离性,攻击者通过容器逃逸、恶意镜像、或不当的权限配置,突破隔离边界,获取主机或集群的控制权,甚至在整个容器集群内横向扩展其攻击。
容器逃逸
EKS集群VPC终端节点暴露
容器镜像投毒
EKS默认VPC使用
容器进程共享和横向移动
不当的容器镜像权限
ECS服务允许外部访问
Kubernetes API滥用进行权限提升
......
AWS实时检测/主动检测
实时监测
告警事件:
CloudTrail 日志记录已禁用
S3存储桶通过ACL公开
Route 53 域已转移到另一个帐户
亚马逊机器映像修改为公开共享
工具使用:终局之战
......
行为事件:
为 root 用户创建新的访问密钥
恢复并重置root用户密码
根用户 MFA 已删除
通过 CLI 创建访问密钥
用户手动删除RDS数据库
......
主动监测
基线扫描:
EKS 集群 VPC 终端节点公开访问
未启用 CloudTrail 日志记录
IAM 用户未配置多因素认证 (MFA)
IAM 策略允许附加完全管理权限 (*)
启用虚拟 MFA 的 IAM 根账户
......
bash
应对的安全需求场景
云平台风险识别
云资产风险配置识别
云账户权限最小化
恶意工具利用分析
异常行为监控
异常账户分析
云合规性要求