云原生服务攻防技术研究 - 前期侦查 - 郑瀚Andrew
2023-12-15 17:23:0 Author: www.cnblogs.com(查看原文) 阅读量:4 收藏

近些年来,越来越多的IT产业正在向云原生的开发和部署模式转变,这些模式的转变也带来了一些全新的安全挑战。

  • 云服务器安全:由于云服务器中承载着用户的业务以及数据,其安全性尤为重要而云服务器的风险往往来自于两方面:云厂商平台侧的风险与用户在使用云服务器时的风险。与用户侧风险相比,平台侧的漏洞往往带来更广泛的影响。
  • 云账号安全
  • 对象存储安全:在对象存储所导致的安全问题中,绝大部分是由于用户使用此功能时错误的配置导致的。据统计,由于缺乏经验或人为错误导致的存储桶错误配置所造成的安全问题占所有云安全漏洞的16%。
  • 云数据库安全等

总体来说,云原生攻击的主要思路集中在以下几个层面:

  • 突破网络隔离:传统的网络隔离边界(防火墙、路由器、交换机、VPN)、VPC(peering、endpoint、traffic mirror)、云专线(混合云、多云网络)、安全组等;
  • 突破资源隔离:虚拟机逃逸、容器逃逸、物理机CPU/芯片侧信道攻击等;
  • 突破权限隔离:IAM账号(AWS Landing Zone)、IAM策略(ABAC)、委托代理、联邦认证(AWS STS security tokens、SAML)等;
  • 突破架构隔离:物理多租(单租户独享)、逻辑多租(多租户共享)等。
前期侦查初始访问执行权限提升权限维持防御绕过信息收集横向移动影响
API 密钥泄露 Bucket 公开访问 通过控制台执行 利用应用程序提权 在存储对象中植入后门 关闭安全监控服务 用户账号数据泄露 窃取云凭证横向移动 Bucket 接管
控制台账号密码泄露 特定的访问配置策略 利用云厂商命令行工具执行 Bucket 策略可写 写入用户数据 在监控区域外攻击 对象存储敏感数据泄露 窃取用户账号攻击其他应用 任意文件上传覆盖
临时访问凭证泄露 元数据服务未授权访问 使用云API执行 Object ACL 可写 在云函数中添加后门 停止日志记录 目标源代码信息 通过控制台横向移动 敏感数据泄露
访问密码泄露 云控制台非法登录 写入用户数据执行 Bucket ACL 可写 在自定义镜像库中导入后门镜像 日志清理 共享快照 使用实例账号爆破 破坏存储数据
SDK 泄露 账号劫持 使用对象存储工具执行 通过访问管理提权 创建访问密钥 通过代理访问 元数据 使用用户账号攻击其他应用 植入后门
前端代码泄露 恶意的镜像 利用后门文件执行 创建高权限角色 在 RAM 中创建辅助账号   云服务访问密钥 PostgreSQL 数据库 SSRF 拒绝服务
共享快照 网络钓鱼 利用应用程序执行 利用服务自身漏洞进行提权 利用远控软件   用户数据   子域名接管
账号/角色暴力破解 应用程序漏洞 利用 SSH、RDP 服务登录到实例执行命令 低权限下收集到数据库里的高权限访问凭证信息 控制台修改或添加数据库账户密码   获取配置文件中的应用凭证   资源劫持
  服务弱口令 利用远程命令执行漏洞执行 在 RAM 中将低权限用户分配高权限策略 命令行修改或添加数据库账户密码   获取实例网段信息   窃取项目源码
  密码访问 利用 SDK 执行   共享快照   数据库连接历史记录   窃取用户数据
  密钥访问 数据库连接工具       数据库其他用户账号密码   篡改数据
            数据库中的敏感信息   加密勒索
            警告通知邮箱   恶意公开共享
            性能详情   恶意修改安全组
            MSSQL 读取实例文件   恶意释放弹性IP
            流日志   恶意修改防火墙策略
            安全组配置信息   LB 中的 HTTP 请求走私攻击
            RAM 用户角色权限信息   Bucket 爆破
                Bucket Object 遍历

文章来源: https://www.cnblogs.com/LittleHann/p/17894438.html
如有侵权请联系:admin#unsafe.sh