警惕！红队针对敏感IAM服务账户的云攻击激增5倍

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

在数字化转型的浪潮中，企业纷纷将业务迁移至云端，云服务的广泛应用在带来便捷与高效的同时，也引发了一系列严峻的安全挑战。近期，安全研究机构Unit 42发布的报告显示，针对敏感身份与访问管理（IAM）服务账户的云攻击数量出现了惊人的增长，与年初相比，截至2024年底，攻击频率近乎增长了5倍，这一数据无疑为企业的云安全防护敲响了警钟。

一、云攻击增长态势剖析

1. 整体云安全告警大幅攀升：2024年全年，云安全告警数量呈现出爆发式增长，整体增长幅度高达388%。其中，高严重性告警的增长态势尤为显著，攀升了235%。这表明攻击者针对云环境的攻击不仅在数量上显著增加，攻击的复杂程度和破坏力也在不断升级，越来越多的关键云资源成为了攻击目标。

2. IAM相关攻击激增：在众多攻击类型中，针对IAM服务账户的攻击成为了最为突出的问题。攻击者深知IAM服务账户的重要性，其持有访问云资源的关键权限，一旦得手，便可在云环境中肆意横向移动、提升权限并执行各类恶意操作。因此，他们不惜投入大量资源，针对IAM令牌和凭据展开攻击。例如，利用IAM令牌和凭据进行远程命令行访问的事件在2024年增加了两倍。到12月，平均每个云环境中，针对无服务器函数IAM令牌的远程命令行使用告警超过200次，而在1月时，这一数字仅为2次。同时，IAM相关的“不可能旅行”告警增长了116%，这意味着在极短时间内，IAM账户在地理位置相距甚远的区域出现登录事件，极有可能是账户被盗用；IAM应用程序编程接口（API）来自授权区域之外的请求增加了60%，这表明攻击者正在尝试从非授权区域获取云资源的访问权限。

二、攻击手法深度解析

1. 利用云服务漏洞：常见的云服务漏洞为攻击者提供了可乘之机。例如传统漏洞中的命令注入、代码沙箱逃逸、越权访问、服务器端请求伪造（SSRF）等，云原生组件漏洞如容器逃逸、Kubernetes集群接管，虚拟化漏洞中的虚拟机逃逸、虚拟化网络隔离打破，以及内部凭据泄露、云服务代理（agent）漏洞、软件云服务化保留的高风险功能、云服务IAM使用不当（如混淆代理人、IAM提权）、云服务功能缺陷（如云日志记录缺失、云Web应用防火墙通用绕过）等。这些漏洞一旦被利用，攻击者便可以此为切入点，进一步渗透云环境，获取IAM服务账户的权限。

2. 结合社会工程学：红队擅长运用社会工程学手段，通过精心设计的钓鱼邮件、欺骗性的网站等方式，诱使用户泄露敏感信息，包括IAM服务账户的凭据。例如，发送伪装成云服务提供商官方邮件，要求用户更新账户信息，当用户点击链接并输入凭据后，这些信息便会被攻击者获取。此外，攻击者还可能利用电话、短信等多种渠道，针对企业员工进行诈骗，以获取进入云环境的“钥匙”。

3. 针对云特性的攻击：云平台的一些特性在设计上可能存在安全风险，攻击者对此加以利用。例如，在跨租户漏洞方面，租户资源实例隔离缺陷可能导致攻击者跨租户访问资源实例；云服务管理面失陷可能使攻击者接管租户的资源实例；云服务内部账号凭据泄露可让攻击者获取租户授权角色的凭据，进而实现对租户资源的控制；跨租户的越权访问可直接获取数据或权限；云服务引入的供应链攻击可通过在租户使用的云服务提供的软件开发工具包（SDK）、镜像等中注入恶意代码，达到攻击目的。对于非直接跨租户漏洞，攻击者则先从其他途径获得目标租户内的一个“驻点”，再利用资源实例内的各类漏洞、云服务角色引入的提权漏洞、云服务agent引入的本地提权或信息泄露、云服务功能缺陷以及租户内的越权访问等，逐步提升权限，最终实现对敏感IAM服务账户的攻击。

三、典型案例警示

在一次大规模的云攻击事件中，某知名企业成为了受害者。攻击者通过精心策划的钓鱼活动，成功获取了该企业部分员工的IAM服务账户凭据。这些员工由于安全意识不足，在收到看似正规的邮件后，轻易地点击了链接并输入了账户信息。攻击者利用获取到的凭据，登录企业云环境，首先通过无服务器函数的IAM令牌，执行远程命令行操作，获取了部分服务器的控制权。接着，利用云服务内部的一些漏洞，如权限提升漏洞，逐步扩大权限范围，横向移动至其他关键服务器。在这个过程中，攻击者还利用云存储服务的漏洞，成功下载了大量企业敏感数据，包括客户信息、商业机密等，给企业带来了巨大的经济损失和声誉损害。此外，攻击者还通过篡改IAM权限设置，在云环境中植入了长期的后门程序，以便后续持续获取企业信息。

四、应对策略探讨

1. 强化身份和访问管理：严格遵循最小权限原则，为IAM服务账户分配最基本的、仅满足其工作所需的权限，避免权限过度分配。定期对IAM服务账户的权限进行审查和清理，及时发现并撤销不必要的权限。同时，实施多因素认证（MFA）机制，增加账户登录的安全性，即使攻击者获取了账户密码，也难以通过多因素认证这一关。

2. 部署先进的安全工具：运用云检测与响应（CDR）工具，对云环境进行实时监控，及时发现并阻止恶意活动。CDR工具能够对云环境中的各类事件进行实时分析，一旦检测到异常行为，如异常的IAM令牌使用、非授权区域的API请求等，立即发出告警并采取相应的阻断措施。结合传统的云安全态势管理（CSPM）解决方案，对云资源的配置进行全面检查，及时发现并修复配置错误，降低因配置不当而带来的安全风险。

3. 提升员工安全意识：开展定期的安全培训，提高员工对云安全风险的认识，增强其安全意识和防范能力。培训内容应包括如何识别钓鱼邮件、如何保护个人账号信息安全、云服务使用的安全规范等。通过实际案例分析，让员工深刻认识到云安全问题的严重性，以及自身行为对企业云安全的影响。

4. 加强云审计与监控：启用云服务提供商的审计日志功能，对云环境中的所有操作进行详细记录和监控。通过对审计日志的分析，及时发现潜在的安全威胁，并采取相应的措施进行处理。建立健全的安全事件响应机制，一旦发生云安全事件，能够迅速做出反应，及时采取措施进行应急处理，最大限度地降低损失。 

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：警惕！红队针对敏感IAM服务账户的云攻击激增5倍