针对云攻击模型的攻击战略与战术体系
ATT&CK云模型
1.初始访问
针对性的鱼叉欺骗、面向公众的Web服务器的安全漏洞、有效账户或远程服务。如果应用托管在云平台上,则攻击事件将对基础实例造成损害,获取访问云API或利用弱身份和访问管理策略。
2.执行
通常与初始访问相结合,用于获取访问权限后执行命令,横向移动以扩展对网络远程系统的访问权限。
有权限访问AWS控制台的攻击者可以利用API网关和Lambda创建,触发Lambda函数返回角色的临时凭证,然后将凭证添加到本地AWS CLI(AWS命令行界面)配置文件创建恶意用户。
3.持久化
容器运行时被植入后门以包含恶意代码,使其在系统内持久隐藏。
在云容器映像中植入后门,例如在云部署无意使用的docker映像中。
4.权限提升
使用凭证访问技术窃取特定用户或服务账户的凭证,或在侦查阶段社工获取凭证获取初始访问权限。
账户类型分为:默认账户,本地账户和域账户。
受损的凭证可能会被用于绕过放置在网络系统上的各种资源的访问控制,甚至用于远程系统和外部可用服务(VPN/远程桌面),受损凭证也可能增加对特定系统或访问网络受限区域的控制权。
受损凭证与恶意软件、工具会分开使用,以便躲避检测。
可能利用公开披露的私钥或被盗私钥,通过远程服务合法连接到云环境。
在网络中,账户访问、凭证、权限的叠加是需要注意的,通过跨账户、系统进行轮转达到较高访问级别。
5.防御绕过
避免攻击过程中被发现,常用卸载或禁止安全软件、对数据或脚本进行Fuzz或加密、利用受信任的进程来隐藏或伪装恶意软件。
在执行完恶意活动后,通过撤回对云实例的更改达到逃避检测的效果。也可以利用云管理仪表盘使用VM或数据快照的还原达到该效果。还有利用附加到计算实例的临时存储。
6.凭证访问
窃取凭证(用户名密码)包含密钥记录和凭证转储,此时创建更多的账户以保持目标。
尝试访问云实例数据API(这是提供给运行的虚拟实例的服务,以允许应用程序访问该虚拟实例信息,包括安全组与其他元数据,提供该服务为了方便管理,但任何访问该实例的人都可以利用)收集凭证或敏感数据。
7.发现
观察所在环境,不同云服务运营商可能有不同虚拟网络运营方式。
获取部分权限后,规划虚拟私有云或虚拟网络,确认连接哪些系统和服务。
8.横向移动
如果存在交叉账户角色,可以使用向其授予的AssumeRole权限的凭证获取另一个AWS账户凭证。当使用AWS Organization时,父账户使用者可以在子账户创建这些交叉账户角色。
识别用作横向移动的IAM角色,在初始账户中搜索所有IAM用户、组、角色策略及客户管理策略,识别可能桥接的IAM角色。在AssumeRole的初始账户中,使用默认回溯窗口配置及任何跨账户角色信息。有了潜在的桥接IAM角色列表,MadDOG可以尝试获取可以用于横向的临时凭证账户。
通过波动模式,使用MadDOG通过每个被破坏的账户中获取凭证。
通过持久化模式,MadDOG创建一个IAM用户进行长期访问,而无需遍历最初使用的AWS角色链。
9.纵向移动
能从网络平面到达云平面。
使用AWS SSM来获取适当权限的AWS凭证在计算机中反弹SHELL,借助云控制,向自己授予读取网络中所有硬盘权限以及在硬盘中搜取凭证和用户权限。
10.收集数据
窃取数据,截图,记录键盘输入。
11.渗透与数据窃取
12.干扰
试图操作、中断、破坏系统和数据。
除了该框架外,还有NIST CSF/CAG/GDPR等为云安全设计的参考框架
(纯个人笔记,大多数来源参考文献,希望有云原生安全厉害的师傅带带。)
相关资料
参考文献:云计算安全实践 ---王绍斌、卢朝阳、余波、朱志强编
原文始发于微信公众号(风淮的渗透日记):云安全个人学习笔记(1)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论