图片-稻子网
图片-稻子网
图片-稻子网
图片-稻子网

服务器的远程桌面-浅谈云端攻防——云服务器攻防矩阵

前言

云服务器(Cloud,CVM)是一种比较常见的云服务,为用户提供安全、可靠、高效的计算服务。用户可以灵活地扩展和收缩计算资源,以适应不断变化的业务需求。使用云服务器可以大大降低用户的软硬件采购成本和IT运维成本。

由于云服务器承载着用户的业务和数据,其安全性尤为重要,而云服务器的风险往往来自两个方面:云厂商平台侧的风险和用户使用云服务器时的风险。与用户端风险相比,平台端漏洞的影响往往更广,例如2018年披露的AWS没有AMI所有者漏洞(CVE-2018-15869),AWS XSS onEC2 web 2020年披露)相比平台端漏洞,用户端漏洞更容易发生,并可能严重影响用户资产代理。例如,2020年,米高梅(MGM.US)大规模客户数据泄露就是一个例子。允许未经授权访问云服务器的错误配置导致出售 1.4。

云服务器的安全性非常重要。只有深入了解云服务器的风险和攻击方式,才能有效帮助云厂商和用户在面对这些威胁时有效识别并采取相应的防护措施,从而保护云服务器。业务和数据安全。

云服务器攻防矩阵概述

腾讯安全云鼎实验室基于公开的历史漏洞数据、云厂商的安全事件以及腾讯云自身的安全数据,抽象出云特有的攻防矩阵,并于9月26日在西部云安全峰会上发布, 2021 首次亮相《云安全攻防矩阵v1.0》。“云安全攻防矩阵v1.0”由云服务器、容器和对象存储服务攻防矩阵组成。

本文将详细介绍《云安全攻防矩阵》中云服务器攻防矩阵的内容,帮助开发、运维和安全人员了解云服务器的安全风险。

云服务器攻防矩阵

初次访问

云平台主要API密钥泄露

云平台主API密钥的重要性相当于用户的登录密码,代表了账户所有者的身份和对应的权限。

API 密钥由和组成。用户可以通过API key访问云平台API,管理账户下的资源。在某些攻击场景中,由于开发者的开发和配置不安全,导致凭据泄露;在其他针对设备的入侵场景中,攻击者会入侵设备并获取存储在设备中的云平台凭据。例如,在 2020 年,组织针对此次攻击,恶意程序会扫描受感染系统的 ~/.aws/ 和 ~/.aws/ 文件并窃取它们,从而导致 AWS 凭证泄露。

攻击者窃取云平台的主API密钥后,可以利用账户所有者的身份入侵云平台,非法操作云服务器,篡改业务代码,添加后门程序或窃取数据。

云平台账号非法登录

云平台为用户登录提供了多种认证机制,包括手机验证、账号密码验证、邮箱验证等。在云平台登录过程中,攻击者通过多种方式攻击获取用户登录信息权限,并以用户身份非法登录。窃取用户登录账号等攻击者利用获取的账号信息非法登录云平台后,即可操作云服务器。

实例登录信息泄露

购买并创建云服务器后,用户可以自行配置云服务器的登录用户名和登录密码。Linux云服务器往往支持用户使用配置的用户名密码或SSH密钥通过ssh远程登录云服务器;在服务器中,用户可以通过 RDP 文件或远程桌面登录云服务器。当上述云服务器实例登录信息被盗时,攻击者可以通过该信息非法登录云服务器实例。

账户劫持

当云厂商提供的控制台存在漏洞时,存在一定的用户账号劫持风险。以AWS控制台的更改历史功能模块中的XSS漏洞和AWS控制台的标签中的XSS为例,攻击者可以利用这些XSS漏洞完成账户劫持攻击并获得对云服务器实例的控制权。

网络钓鱼

为了获得对云服务器的访问权限,攻击者可以使用网络钓鱼技术来完成这一阶段的攻击。攻击者向云服务器管理员和运维人员发送特定主题的钓鱼邮件,或伪装身份通过聊天工具与管理员和运维人员进行通信,通过窃取凭据、登录信息或安装后门等方式获取云服务。服务器控制。

应用程序漏洞

当云服务器实例中运行的应用程序存在漏洞,或者这些应用程序由于配置不当而被非法访问时,攻击者可以通过扫描检测发现和利用这些应用程序漏洞,从而获取云服务器实例的信息. 访问权限。

图片[1]-服务器的远程桌面-浅谈云端攻防——云服务器攻防矩阵-稻子网

使用恶意或易受攻击的自定义图像

云平台为用户提供公共镜像、自定义镜像等镜像服务,供用户快速创建与该镜像相同配置的云服务器实例。这里的镜像虽然和镜像不同,底层使用的是云盘快照服务,但是云服务器镜像和镜像有类似的风险,即存在恶意镜像和有漏洞的镜像的风险。当用户使用其他用户共享的镜像创建云服务器实例时,云平台无法保证共享镜像的完整性或安全性。通过这种方式,攻击者可以创建恶意自定义图像并共享它们以进行供应链攻击。

实例元数据服务未经授权的访问

云服务器实例元数据服务是为查询运行实例提供元数据的服务。云服务器实例元数据服务在链接本地地址上运行。当实例向元数据服务发起请求时,请求不会通过。但是,如果云服务器上的应用存在RCE、SSRF等漏洞,攻击者可以通过该漏洞访问实例元数据服务。通过云服务器实例元数据服务查询,攻击者不仅可以获取云服务器实例的一些属性,更重要的是可以获取与该实例绑定的具有高权限的角色,并通过此获取云服务器的控制权角色 。

实施

通过控制台登录实例执行

攻击者在初始访问阶段获得平台登录凭证后,即可使用平台凭证登录云平台,直接使用云平台提供的Web控制台登录云服务器实例。成功登录实例后,攻击者可以在实例内部执行命令。.

写执行

是云服务器为用户提供的自定义数据服务。创建云服务器时,用户可以通过指定自定义数据来配置实例。云服务器启动时,自定义数据会以文本的形式传输到云服务器,文本会被执行。

此功能允许攻击者修改实例并将要执行的命令写入其中,每次实例启动时都会自动执行。攻击者可以通过重启云服务器实例加载命令并执行。

使用后门文件执行

攻击者通过多种方式在云服务器实例中部署后门文件,例如通过Web应用漏洞将后门文件上传到云服务器实例,或者通过供应链攻击诱使目标使用带有后门的恶意图像。部署成功后,攻击者可以利用这些后门文件在云服务器实例上执行命令

与应用程序一起执行

部署在云服务器实例上的应用程序可以直接或间接地提供命令执行功能。例如,一些服务器管理应用程序会直接提供在云服务器上执行命令的功能,而其他应用程序,例如数据库服务,则可以使用一些组件来执行命令。当这些程序配置错误时,攻击者可以直接使用这些应用程序在云服务器实例上执行命令

使用SSH服务进入实例执行

SSH 服务通常运行在云服务器的 Linux 实例上。攻击者在初始访问阶段成功获取有效登录凭据后,即可通过SSH登录云服务器实例并执行命令。

利用远程代码执行漏洞

当部署在云服务器上的应用程序存在远程代码执行漏洞时,攻击者将利用该漏洞应用程序,通过编写相应的EXP来执行远程命令。

使用云 API 执行

攻击者利用初始访问阶段获得的凭证操作云服务器,通过向云平台API接口发送HTTP/HTTPS请求,实现与云服务器实例的交互。

云服务器实例提供了丰富的API接口供用户使用。攻击者可以利用这些API接口构造相应的参数来执行相应的操作指令,如重启实例、修改实例账号密码、删除实例等。

使用云供应商工具执行

图片[2]-服务器的远程桌面-浅谈云端攻防——云服务器攻防矩阵-稻子网

除了使用云API接口完成云服务器命令执行外,还可以选择使用云平台提供的可视化或命令行工具进行操作。配置云服务器实例信息和凭据后,攻击者可以使用此类工具管理服务器实例并执行相应的命令。

持久性

使用远程控制软件

为了方便管理云服务器实例,管理员可以在实例中安装远程控制软件,实例中大多是这种情况。攻击者可以在服务器上搜索此类远程控制软件并获取连接凭据以进行持久性。攻击者还可以在实例中安装远程控制软件来实现持久化。

添加后门

正如在“执行”阶段所介绍的,攻击者可以使用云服务器提供的服务来执行持久化操作。攻击者可以通过调用云API接口在云API接口中编写后门代码。每当服务器重启时,后门代码会自动执行,从而实现隐藏持久化操作的目的。

为云函数添加后门

Cloud 是一种计算服务,可为企业和开发人员提供无服务器执行环境。用户只需使用平台支持的语言编写核心代码并设置代码运行的条件,即可弹性安全运行代码,平台完成服务器和操作系统维护、容量配置以及自动扩展、代码监控和日志记录。

以 AWS 为例,用户可以创建一个 IAM 角色并赋予其相应的权限,并在创建函数时提供该角色作为函数的执行角色。调用函数时,承担角色。高,攻击者可以插入后门代码,例如调用该函数后创建一个新用户,进行持久化操作。

在自定义镜像仓库中导入后门镜像

攻击者获得云服务器的控制台权限后,可以导入和删除用户自定义镜像仓库中的镜像,攻击者可以将攻击者构建的后门镜像上传到用户镜像仓库。此外,为了提高攻击的成功率,攻击者还可以使用后门镜像替换用户镜像仓库中的原始镜像。当用户使用后门镜像创建实例时,可以触发恶意代码完成持久化操作。

为现有用户分配额外的 API 密钥

API 密钥是构建腾讯云 API 请求的重要凭证。云平台运行用户创建多个 API 密钥。使用此功能,具有 API 密钥管理权限的攻击者可以为该帐户下的所有用户分配一个额外的 API 密钥。,并使用这些 API 密钥进行攻击。

创建辅助账号登录

具有访问管理权限的攻击者可以通过建立子账户进行持久化操作。攻击者可以将建立的子账号与主账号的策略关联起来,通过子账号进行后续攻击。

权限提升

通过写入 Acl 提权

对象存储服务访问控制列表 (ACL) 是与资源关联的指定被授予者和授予权限的列表,每个存储桶和对象都有一个与之关联的 ACL。

通过访问管理提升权限

错误地为云平台的子账号授予过高的权限,也可能导致子账号通过权限管理功能进行提权操作。由于云平台子账号被错误授予的管理功能操作权限过高,子账号用户可以通过权限管理功能自行授权策略。通过这种攻击方式,攻击者可以在访问管理中修改云服务器的权限策略,实现权限升级。

使用应用程序提升权限

攻击者可以通过云服务器中运行的容器中的应用漏洞成功获取容器的权限。攻击者可以通过漏洞或错误配置逃逸容器,获取云主机的控制权,从而实现权限升级。当然,攻击者也可以通过其他应用程序提升权限。

图片[3]-服务器的远程桌面-浅谈云端攻防——云服务器攻防矩阵-稻子网

创建高权限角色

当攻击者在管理中有权访问新创建的角色时,可以通过调用云API接口创建新角色,并为该角色分配高权限策略。攻击者可以利用该角色进行后续攻击。.

利用操作系统漏洞进行权限提升

与传统主机安全问题类似,云服务器实例也可能存在操作系统漏洞,攻击者可以利用操作系统漏洞提升权限。

防御绕过

防御绕过

关闭安全监控服务

为了保护用户云主机的安全,云平台往往会提供一些安全监控产品来监控和验证活动事件的真实性,识别安全事件和检测未经授权的访问。攻击者可以通过在攻击过程中关闭安全监控产品来绕过安全。以AWS为例,攻击者可以通过以下指令关闭监控:

但是,此操作会在控制台或控制台中触发警报。也可以通过配置关闭多区域日志功能,在监控区域外进行攻击。以AWS为例,攻击者可以通过以下命令禁用多区域日志功能:

监视区域外的攻击

云平台提供的安全监控服务默认进行全区域的安全监控,但在某些场景下可能会出现一些监控盲点。例如,当用户使用安全监控服务时,关闭整个区域的监控,只开启部分区域的监控。,以AWS为例,可以使用如下命令查看监控范围,找到监控之外的云主机进行攻击服务器的远程桌面,防止触发安全告警:

禁用日志记录

与直接关闭安全监控服务相比,攻击者可以通过禁用平台监控告警日志来绕过防御,攻击过程结束后再次打开告警日志。以AWS为例,攻击者可以通过以下命令关闭日志

并且攻击完成后,使用如下命令再次开启日志功能:

日志清理

攻击者完成攻击过程后,可以删除监控服务日志和云主机上的日志,防止攻击行为暴露。

通过代理访问

大多数云服务器都提供操作日志功能,会记录时间、操作内容等。攻击者可以使用代理服务器隐藏自己的真实IP。

窃取凭据

获取服务器实例登录凭据

攻击者在获得对云服务器实例的控制权后,可以通过一些方式获取用户在服务器上的登录凭据,例如抓取凭据,并将获取的登录凭据应用到后续的攻击过程中。

元数据服务获取角色临时凭证

图片[4]-服务器的远程桌面-浅谈云端攻防——云服务器攻防矩阵-稻子网

云服务器为用户提供每个实例的元数据服务。元数据是指实例的相关数据,可用于配置或管理正在运行的实例。用户可以通过元数据服务查看正在运行的实例中实例的元数据。以AWS为例,您可以访问实例内部的如下地址,查看所有类别的实例元数据:

在使用云服务器的过程中,用户可以将角色与云服务器实例关联起来。使用元数据服务,您可以查询角色名称和角色的临时凭证。以AWS为例,您可以通过如下请求获取角色名称:

获取角色名称后,您可以通过以下链接获取角色的临时凭证:

在配置文件中获取应用凭据

云服务器应用程序中的配置文件可能会存储一些敏感信息,例如某些应用程序的访问凭证或登录密码。攻击者可以在云服务器中搜索这些配置文件,窃取敏感数据,并在随后的攻击中被利用。

云服务凭证泄露

在云服务器实例中运行应用程序时,云服务凭证通常使用环境变量或硬编码以明文形式存储。应用程序使用这些凭据来调用其他云服务的凭据。攻击者可以通过读取参数来读取环境变量中的参数。,或者通过分析应用程序代码获取这些凭证来获取其他云服务的凭证,甚至是云平台主API密钥。

用户帐户数据泄露

在某些场景下,开发者会将其业务中的用户数据存储在云服务器中,例如用户的姓名、身份证号、电话号码等敏感数据,以及用户账号密码等凭证信息。

攻击者可以通过提取和分析用户数据来窃取这些用户的凭据,并通过获取的信息进行后续攻击。

探测

云资产检测

在检测阶段,攻击者会寻找环境中所有可用的资源,例如实例、存储和数据库服务。

通常,攻击者可以利用云平台提供的API或工具完成云资产检测,并通过下发命令等方式收集基础设施信息。以AWS API接口为例,您可以通过API接口查询账户中一个或多个实例的信息,也可以通过API接口查询目标桶列表信息。

网络扫描

与传统的内网扫描类似,攻击者在这个阶段也会尝试发现其他云主机上运行的服务。攻击者使用系统内置或上传到云服务实例的工具执行端口扫描和漏洞扫描以发现这些服务。容易受到远程攻击的服务。此外,如果目标云环境连接到非云环境,攻击者也可能能够识别在非云系统上运行的服务。

横向运动

使用实例帐户进行爆炸

当攻击者在凭证窃取阶段成功获取实例中的有效账户信息时服务器的远程桌面,攻击者可以利用账户数据制作账户字典,并尝试爆破目标的云或非云资产,并横向移动到这些资产中。

具有控制台权限的横向移动

攻击者获得目标控制台权限后,可以通过控制台提供的功能横向移动到目标用户的其他云资产。

窃取字符临时凭证以进行横向访问

图片[5]-服务器的远程桌面-浅谈云端攻防——云服务器攻防矩阵-稻子网

通过实例元数据服务,攻击者可以获得实例绑定的角色的临时凭证,攻击者可以利用获得的角色临时凭证在角色权限范围内横向移动到云资产。

窃取凭据以访问云服务

攻击者通过对云服务器中Web应用程序源代码的分析,可以从Web应用程序的配置文件中获取应用程序开发者调用其他云服务所使用的凭据。攻击者使用获得的云凭证横向移动到用户的其他云服务。如果攻击者获取的凭证是云平台主API密钥,则攻击者可以利用该密钥横向移动到用户的其他云资产。

窃取用户帐户以攻击其他应用程序

攻击者利用从云服务器窃取的用户账户数据横向移动到用户的其他应用程序,包括用户的非云应用程序。

影响

窃取项目源代码

攻击者在云服务器中下载应用源代码,造成源代码泄露事件。通过分析源代码,攻击者可以获得更多可利用的信息。

窃取用户数据

当使用云服务器以文件、数据库或其他形式保存用户数据时,攻击者可以通过攻击云服务器窃取用户敏感数据,其中可能包括用户的姓名、身份证号、电话号码、账户信息等。发生,将造成严重影响。

损坏的文件

攻击者在获得云服务器控制权后,可能会尝试删除或覆盖云服务器中的文件,从而破坏服务。

篡改文件

攻击者除了删除和覆盖云服务器文件外,还可以篡改云服务器中的文件,通过修改应用代码、文本内容、图片等对象来达到攻击效果。在某些场景下,用户使用云服务器部署静态网站,攻击者篡改页面中的文字内容和图片,对目标网站造成不良影响。

植入后门

攻击者在云服务器应用程序中插入恶意代码或在项目目录中插入后门文件,攻击者可以利用这些后门发起进一步的攻击。

加密勒索软件

攻击者在获得云服务器控制权后,可能会对云服务器上的文件进行加密,从而对用户进行勒索,并向用户索要赎金。

写在背面

云服务器作为基础且重要的云产品,面临着诸多安全挑战。深入了解云服务器的风险点和相应的攻击手段,可以有效保障用户在使用云服务器时的安全。

在腾讯安全云鼎实验室推出的“云安全攻防矩阵”中,用户可以根据矩阵中显示的内容了解当前环境面临的威胁,并以此制定监控方法,发现风险。详见腾讯安全云顶实验室攻防团队官网:

#/家

除了《云安全攻防矩阵v1.0》收录的产品外,腾讯安全云鼎实验室制定了云安全攻防矩阵未来发布计划,以云产品和业务为切入点,陆续发布云数据库、人工智能、云物联网等云安全攻防矩阵。

图片[6]-服务器的远程桌面-浅谈云端攻防——云服务器攻防矩阵-稻子网

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片