【云安全】云密钥Key扩展利用

开源工具测试

往往这个时候主账号绑定的消息接收人就会收到对应的短信提醒如下创建子账户成功的短信。

API调用测试

1. API Explorer：

   打开对应API Explorer界面里面会有很多云服务，这边主要关注下CAM访问管理服务进行测试，在签名示例中输入aksk密钥后生成签名就会临时生成对应命令进行api的调用。

2. TCCLI：

   在CLI示例子中会根据我们输入的参数生成对应TCCLI的命令，在配置了对应aksk密钥的环境中进行api的调用。

对于上面的高危接口的可疑调用云厂商基本都会进行异常行为的调用检测主要体现在了如下的检测：

1. 和业务正常调用不同的异常IP,  异常地理, 异常UA

2. 业务非常用的接口调用行为和敏感操作

3. 接口调用偏离7天的历史基线

4. 不同于业务调用的非正常时间访问

5. 标记的恶意云账号和恶意IP调用

6. 相同IP短期调用多个AKSK

查询子用户（GetUser）：tccli cam GetUser --cli-unfold-argument --Name xxx这个里面需要注意这个接口返回的详细信息比上面拉取子用户（ListUser）信息要多，主要就是子用户的登录ip（RecentlyLoginIP）和最近登录时间（RecentlyLoginTime），可以考虑挂对应子用户的登录地其他地点的ip代理避免常用地的微信告警通知。

更新子用户（UpdateUser），这里可以进行重置已有子用户的密码。这个测试过了没有收到更新控制台密码的短信，但是毕竟重置对方密码对于黑盒测试不太合适。

费用中心（BILLING）订单管理相关接口，可以查询对应账户的收支账单、订单等数据。比如这里DescribeDealsByCond就通过订单数据查找到2023年的云服务的订单数据，比如这个主要使用购买的云服务就是OCR文字识别。

创建子用户（AddUser）和绑定策略到子用户（AttachUserPolicy）就是我们前面通过api方式收集足够信息之后创建子账户的方式步骤了。下面的图中我们绑定了刚刚新建的子用户对应的AdministratorAccess策略对应的Policyid是1。