云攻防课程系列(二):云上攻击路径

VSole2023-05-06 09:16:15

一、 概述

近日,绿盟科技星云实验室与北京豪密科技有限公司联合推出了一项云攻防技术培训课程。该课程旨在根据客户需求,为客户提供专题培训,帮助客户熟悉常见的云安全架构,并提供云攻防技术理解,同时结合模拟攻击实验提升攻防能力。该课程参与学员涵盖了特殊行业的单位、国企等十多家单位。课程共分为六个章节,分别就云计算基础、云上攻击路径、云上资产发现与信息收集、云服务层攻防、云原生安全攻防以及虚拟化安全攻防进行了详细介绍。

本系列文章旨在以科普为目的面向各位读者推出,本文是该系列的第二篇,主要介绍的内容是云上攻击路径,从传统攻防和云上攻防的异同点切入,结合一些常见的云上攻击场景,介绍了云计算场景存在的攻击路径。

二、云上攻击路径

2.1 

传统攻防与云上攻防的异同点

随着云计算的不断发展,企业逐渐将业务部署上云,由于云环境的复杂以及虚拟化技术的应用比例越来越高,传统攻防的手法可能并不适用云计算场景。因此需要对比分析云上攻防与传统攻防的异同点,从而对云计算攻防有更全面的认识。

图1 云计算发展阶段

图1梳理了云计算的发展阶段,主要分为:服务器虚拟化阶段、私有云&桌面虚拟化阶段、公有云&混合云阶段。而虚拟化技术作为云计算实现的重要支撑,在发展过程中被应用的比例越来越高,从这一规律表明,云计算攻防的主要关注点其实是虚拟化技术。

图2 OWASP Top 10 2017版至2021版

图2展示了OWSAP(Open Web Application Security Project)TOP 10从2017年至2021年的变化,表明传统攻防如今更关注的安全风险是失效的访问控制、加密机制失效、注入、不安全设计等。

而国际云安全联盟(简称CSA)在2022年发布的《云计算的11类顶级威胁》[1]报告中指出云计算环境中突出的安全风险:

1. 身份、凭据,访问和管理密钥、特权账号管理的不足

2. 不安全的接口和API

3. 配置不当和变更控制的不足

4. 缺乏云安全架构和战略

5. 不安全的软件开发

6. 不安全的第三方资源

7. 系统漏洞

8. 云计算数据的意外泄露

9. 无服务器和容器化工作负载的配置不当和利用

10. 有组织的犯罪、黑客和APT攻击

11. 云存储数据泄露

感兴趣的可以阅读原报告,在此不做赘述。

通过对比传统攻防与云计算攻防关注的风险点可以看出两者的区别:

- 攻击面:云计算攻防涉及的攻击面不止包含传统攻防中的资产和服务,同时增加了云计算独有的一些资产,如云服务资源、云管理平台等。

- 攻击复杂度:由于虚拟化技术、资源共享、相对复杂的架构,导致云计算攻防的逻辑层次更加复杂,攻击路径更加灵活多变,因此攻击复杂度变得更高。

2.2 

云上横向、纵向攻击路径

那么云计算都存在哪些攻击路径呢?参考腾讯安全《2019云安全威胁报告》[2]和《云上攻防:RED TEAMING FOR CLOUD》[3],可以总结云计算中的横向、纵向攻击路径如下:

图3 腾讯《2019云安全威胁报告》云计算攻击路径全景图

其中纵向攻击路径包括以下几种(纵向攻击指通过互联网、自外向内的攻击路径):

1. 利用裸金属服务器管理接口

2. 利用租户虚拟机逃逸

3. 独立租户 VPC 实例模式的容器和微服务网络攻击

4. 共享集群模式容器和微服务网络攻击

5. SaaS 服务共享集群模式攻击

6. 恶意攻击者针对云服务平台业务互联网络的旁路攻击

7. 恶意攻击者针对云服务平台开发/运营网络的旁路攻击

8. 针对云用户控制台界面或开放式 API 的攻击

横向攻击路径包括以下几种(横向攻击路径指在获取一定权限后,利用网络或共享资源进行横向移动的路径):

1. 利用租户资源和访问权限,在 VPC 内进行横向迁移攻击,或作为跳板攻击其他用户

2. 利用微服务不同功能组件间共享资源或权限的横向迁移

3. 利用共享数据库集群间的资源或数据进行横向迁移

4. 当成功实现虚拟机逃逸后,利用 Hypervisor 和硬件层面的控制面网络和接口进行横向迁移

5. 利用网络虚拟化的共享资源、威胁接触面和控制面网络进行横向迁移

6. 利用存储虚拟化的共享资源、威胁接触面和控制面网络进行横向迁移

7. 利用云平台管理面/控制面和业务面间的接口进行横向迁移

8. BMC 等固件破坏后获取进行物理机层面的潜伏,或利用底层硬件权限反向获取 Hypervisor OS 或租户虚拟机 OS 的数据和系统访问权

在实际的渗透测试过程中,需要根据信息收集的结果以及预期的攻击目标,选取正确的攻击路径。

2.3 

常见云上攻击场景

下面通过一些具体的攻击场景来加深对云计算攻击路径的理解。

场景一:利用泄露的云凭据&IAM服务

路径:窃取云凭据->查询凭据权限->利用IAM服务进行权限提升->横向移动->控制云服务资源

公有云厂商在提供各类云服务时,为了便于用户在多种场景下(如在业务代码中调用云服务功能或引入云上数据资源时)使用,大部分都支持API调用的方式,此时便涉及到访问控制的问题。用户使用云厂商生成的凭证(如图4所示)可成功访问该凭证对应权限下的云服务资源:

图4 某云厂商API密钥

当通过多种途径收集到泄露的云凭据时,一旦凭据被赋予高权限或风险权限,则可以直接访问云服务资源或利用IAM服务进行权限提升从而访问云服务资源,感兴趣的可以阅读《云凭证的泄露与利用》[4]和《浅谈云上攻防系列——云IAM原理&风险以及最佳实践》[5]进行详细了解。

场景二:利用实例元数据服务

路径:应用漏洞利用->获取元数据服务访问权限->角色信息获取->角色临时凭据获取->临时凭据权限查询->横向移动->控制云服务资源->数据窃取

元数据服务是一个内网服务,通过该服务,可以在主机内取得当前云主机实例的元数据,便于对管理和配置实例,但其中也包含一些敏感数据,如角色的临时访问凭据。当攻击者获取到云服务器实例的访问权限时,可以利用元数据服务获取角色的临时凭据进行权限提升和横向移动。

图5 Capital One攻击事件

图5展示了2019年Capital One公司发生的攻击事件原理,攻击者通过结合SSRF漏洞与元数据服务获取到了角色的临时凭据,然后利用该凭据横向移动至AWS S3存储桶中,最终窃取了S3存储桶中的敏感数据。

场景三:利用容器逃逸

路径:应用程序漏洞利用->获取容器权限->容器逃逸->横向移动至其他容器或其他节点->寻常有效凭据->横向移动->控制云服务资源

随着容器技术的火热发展与落地,越来越多企业将业务以容器化形式部署,因此通过应用程序漏洞等方式可能获取到的仅仅是容器内的权限,并不能满足攻击的最终目标。在《容器逃逸技术概览》[6]中,将容器逃逸利用手法划分为四种:

1. 危险配置导致的容器逃逸

2. 危险挂载导致的容器逃逸

3. 相关程序漏洞导致的容器逃逸

4. 内核漏洞导致的容器逃逸

通过其中任一手法都可能逃逸至宿主机,从而横向至其他容器或其他节点,然后寻找有效凭据,最终获取云服务资源权限。

场景四:利用错误配置的存储桶

路径:存储桶服务发现->使用凭据访问IAM->窃取云凭据->查询凭据权限->权限提升->横向移动->获取云服务器资源

对象存储也称为基于对象的存储,是一种计算机数据存储架构,旨在处理大量非结构化数据。 与其他架构不同,它将数据指定为不同的单元,并捆绑元数据和唯一标识符,用于查找和访问每个数据单元。这些单元(或对象)可以存储在本地,但通常存储在云端,以便于从任何地方轻松访问数据。大部分公有云厂商都推出了对象存储服务,如AWS S3、Azure Blob、阿里云OSS等。存储桶在使用时会涉及公开访问、公开读写等权限设置,一旦配置不当,便有可能造成安全风险。

场景五:利用虚拟机逃逸

路径:应用程序漏洞利用->获取云服务器控制权->虚拟机逃逸->获得宿主机控制权->横向移动->接管宿主机上虚拟机资源

当通过应用程序漏洞获取云服务器控制权时,可通过一些信息收集手段判断当前所处的环境,或是容器、或是虚拟机、或是物理机,具体可参考《虚拟机环境检测》[7]。当自身处于虚拟机环境中时,为了进一步扩大权限,便可以采用虚拟机逃逸,获取宿主机权限,尝试横向移动,从而接管宿主机上所有虚拟机资源。

场景六:对企业内部网络、运维或管理内部网络进行攻击

路径:钓鱼邮件攻击->进入企业内部网络->探测云管理平台->横向移动->获取云平台权限->接管云服务

在2022年的RSAC会议中,来自Varonis公司的Matt Radolec分享了议题《Pain in the Apps — Three Attack Scenarios Attackers Are Using to PWN SaaS》,主要介绍了三种针对SaaS平台的攻击场景,每种攻击场景都始于钓鱼邮件。当企业员工意识薄弱,容易受到钓鱼邮件攻击,可能被攻击者获取内网权限或窃取云平台的Cookie。然后攻击者利用内网权限或Cookie获取云平台权限,最终接管云服务,对企业安全造成破坏。

场景七:Kubernetes集群中的渗透测试

路径:应用程序漏洞利用->获取容器权限->容器逃逸->接管节点->利用高权限ServiceAccount横向移动->接管集群

与场景三中类似,当业务以集群模式部署时,可通过容器逃逸技术获取宿主机权限。Kubernetes集群中使用RBAC模型来进行授权[9]。当集群内的角色或集群角色权限配置不当时,可被攻击者用来横向移动或权限提升,从而接管集群。详情可见《容器逃逸即集群管理员?你的集群真的安全吗?》[10],其中介绍了一些利用风险的RBAC权限接管集群的案例,在此不做赘述。

云计算集群技术
本作品采用《CC 协议》,转载必须注明作者和本文链接
建设银行开发建设的安防物联管理平台(以下简称“平台”),是在全行金融科技战略的指引下应运而生,该平台充分融入新一代IT架构体系,是一套化架构、开放解耦、全网智能、前后端联动的数字化智能管理平台。本文简要介绍平台在管理架构、技术架构、应用架构、高可用架构等方面的设计,同时就平台通过万物互联、智能感知等技术在银行安防领域开展的实践应用进行探索分享。
随着《中华人民共和国密码法》和《国家政务信息化项目建设管理办法》(国办发〔2019〕57 号)的发布,以密码为核心的网络安全的重要性越发凸显。然而,在国内智慧城市的大规模建设中,“重业务、轻安全”的现象普遍存在。密码技术作为智慧城市网络安全的基础与核心技术,从智慧城市密码的应用架构、密码核心技术、防护能力、解决的应用领域、密码应用实践等方面分别进行了阐述,可以解决智慧城市建设中出现的安全性问题,
第二条 本市行政区域内数字经济促进相关活动适用本条例。第七条 市统计部门会同经济和信息化部门完善数字经济统计测度和评价体系,开展数字经济评价,定期向社会公布主要统计结果、监测结果和综合评价指数。市人民政府及其有关部门可以探索设立公共数据特定区域,建立适应数字经济特征的新型监管方式。
Controller Manager 中 的 Node Controller 通 过 APIServer 定期读取节点状态信息,并做响应处理。业务系统通过调用密码机提供的密码服务,实现数据的机密性、完整性、有效性和不可否认性。作为 Node 节点接入 Kubernetes 的服务器密码机,内部也采用了Docker 生成 VSM。当创建 VSM 需从外部下载镜像时,Docker 可能会从外部下载到恶意镜像,恶意镜像可能导致服务器密码机内部的敏感数据被窃取或破坏。因此,服务器密码机可从以下两个维度限制恶意镜像在服务器密码机中执行。
网络空间日光浴委员会(CSC)于 2020 年 10 月 20 日发布《国家可信信息通信技术供应链》报告,提出了如何保护信息和通信技术供应链安全的建议。
“十四五”时期是我国实现第一个百年奋斗目标之后,乘势而上向第二个百年奋斗目标进军的第一个五年。今年,各省(区、市)结合本地实际,陆续出台了“十四五”规划建议。本文根据中国一带一路网《各省(区、市)“十四五”规划建议文件一览》梳理整理全国各省市“十四五”规划建议,及全国各省市“十四五”规划网络安全政策。
有专家认为,隐私计算是指在保护数据本身不对外泄露的前提下实现数据分析计算技术集合。简而言之,差分隐私就是利用一些随机化的方法,在两个邻近的数据集的查询结果中添加一些随机化的内容,使得攻击者无法通过查询结果的差异来推测其中存在的隐私信息。利用随机算法可以对原生的查询结果进行某种方式的混淆,从而使得攻击者无从推测出其真实内容,达到隐私数据保护的作用。
计算的出现彻底改变了 IT 产业和传统企业的 IT 结构,但大部分企业的理念和技术方法还停留在传统的 IT 时代,很多企业只是把当成更大的服务器集群来使用,并没有认识到所带来的底层技术上的本质性变革。这种理念的差异造成的最直接后果就是安全管理水平的滞后,安全需要用新的安全管理思路和技术手段来应对。
VSole
网络安全专家