前言
01
随之而来的,是企业在攻击面所面临的攻击手法的多元化,更多的攻击路径和更多样化的攻击手段让企业面临的风险大大增加。因此,由于攻击者对云服务的攻击手法与常规思路不同,防守方的防守策略也要随之转变,由此应对这些新的威胁,可使用觅影(AS EASM)外部攻击面管理系统针对暴露在外网的云业务进行收集管理,使用攻鉴(AS BAS)突破与攻击模拟系统无害化模拟黑客攻击路径以及手法针对云环境/元业务进行测试。
在此文中,笔者将从攻击者视角以及防守者视角展开讲解针对元数据的攻与防的相关手法。
元数据是什么
02
-
MAC地址 -
IPv4地址 -
内网地址 -
镜像信息 -
等等……
-
在阿里云服务器中我们可以通过请求元数据地址,得到主机以及账户信息。
1.curl http://100.100.100.200/2016-01-01/meta-data
-
查看网卡主私有IP地址。
curl http://100.100.100.200/2016-01-01/meta-data/network/interfaces/macs/[mac]/primary-ip-address
-
查看实例拥有者的阿里云账号ID。
-
阿里云元数据地址:http://100.100.100.200 -
腾讯云元数据地址:http://metadata.tencentyun.com -
华为云元数据地址:http://169.254.169.254 -
亚马云元数据地址:http://169.254.169.254 -
微软云元数据地址:http://169.254.169.254 -
谷歌云元数据地址:http://metadata.google.internal
攻击者视角下的元数据
03
Google Cloud:
IAM 角色(Identity and Access Management Roles):Google Cloud 使用 IAM 来管理用户和服务的访问权限。
腾讯云:
CAM 角色(Cloud Access Management Roles):腾讯云提供云访问管理功能,允许用户创建和管理访问权限。
微软 Azure:
RBAC 角色(Role-Based Access Control Roles):Azure 使用基于角色的访问控制来管理用户和服务的权限。
阿里云:
RAM 角色(Resource Access Management Roles):阿里云的资源访问管理(RAM)允许用户控制对云资源的访问。
01
攻击者通过WebShell访问元数据
1.curl http://100.100.100.200/latest/meta-data/ram/security-credentials/
2.curl http://100.100.100.200/latest/meta-data/ram/security-credentials/[RAM角色名]
攻击路径:WebShell到访问元数据,通过得到临时凭证,访问账户下的其他云主机,再到执行命令,至此所有机器权限均被沦陷。
02
通过生产环境的SSRF漏洞访问元数据
-
<iframe>标签生成一个指定区域,在该区域中嵌入其他网页。它是一个容器元素,如果浏览器不支持<iframe>标签,就会显示内部的子元素,也就说攻击者可以通过此标签特性去访问特定的网站,结合元数据来说需要满足以下两个条件: -
目标机器部署在云上 -
目前机器可以解析<iframe>标签 -
解析之后的结果输出回显 -
在下面的案例中,恰好满足了这三个条件
<iframe src="http://100.100.100.200/latest/meta-data/">
<iframe src="http://100.100.100.200/latest/meta-data/eipv4">
至此,攻击者通过正常业务的将HTML转为PDF文件的时候,使用<iframe>标签访问元数据地址,在生成的PDF文件中读取访问的元数据的内容。
防守者视角下的元数据
04
在上面两个案例中,我们发现了元数据造成的危害,仅仅是访问一个内网的IP地址就可以造成所有的服务器以及账户沦陷,以下是笔者对于防守者的一些建议。
01
基于元数据的基线检查
这里我们使用阿里云进行举例:
-
细粒度权限管理,删除不必要的权限,最小化权限原则
-
定期审计角色操作记录以防被沦陷
-
定时评估生产环境安全性
在企业中组织红蓝对抗的成本过高,传统的防御措施和一次性的渗透测试已经难以满足企业日益增长的安全需求。在这一背景下,BAS 工具作为一种持续化、自动化的安全运营工具,帮助企业验证其防御体系的有效性,从而在全球网络安全市场中获得快速发展。使用攻鉴(AS BAS)突破与攻击模拟系统,以攻击模拟技术为核心,获得攻击路径可见性,量化组织网络风险,优化安全防御,确保安全控制时刻有效,降低企业攻击面风险。
参考
05
原文始发于微信公众号(矢安科技):【技术分享】探索云安全之元数据攻与防
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论