AWS介绍

AWS（Amazon Web Services） 是 Amazon 提供的云计算平台，提供了广泛的云服务，包括计算、存储、数据库、网络、安全、人工智能、大数据处理等功能，帮助企业和开发者构建、部署和管理应用程序。AWS 是全球最大的云服务提供商之一，广泛应用于各个行业，具有高扩展性、可靠性和安全性。

 

AWS风险

攻防视角下AWS，红队钟爱的“云控中心”，是快速获取数据、权限的理想跳板。

 

攻击路线（按照1，2，3的流程来进行攻击）

1、控制云上应用

2、应用内配置文件获取AK/SK

3、利用AK/SK接管目标AWS平台

4、创建新的管理员用户

5、使用SSM接管EC2实例

6、从EC2中提取凭证信息

7、控制EC2中运行的敏感系统

 

AWS风险案例

数据泄露仍是AWS安全的主题曲

数据泄露案例

1、Pegasus：存储桶配置不当泄漏6.5T数据

2、Capital One ：SSRF漏洞获取EC2元数据至1亿数据泄漏

3、Verizon： S3存储桶配置公共访问导致600万数据泄露

 

AWS攻击面

1、身份与访问管理（IAM）

2、对象存储（S3）

3、云服务器（EC2）

4、云数据库（RDS/DynamoDB）

5、容器服务（ECS/EKS）

6、……

 

AWS攻击场景

1、身份与访问管理（IAM）

简介：IAM负责用户、角色和访问权限的管理。攻击者通常通过泄露的AK/SK，过度授予的权限来利用这些账户，获得访问权，并进一步滥用权限执行高风险操作。

1. AK/SK泄露
2. 过度授予的IAM权限
3. 未设置多因素认证（MFA）
4. 角色假冒与跨账户权限滥用
5. 过度开放的IAM角色和权限组合
6. IAM用户拥有多个访问密钥
7. ……

 

2、对象存储（S3）

简介：S3是用于存储和访问数据的服务，许多应用依赖它来存放文件。攻击者可以通过公开的存储桶或错误的权限设置，进行任意文件上传、下载或覆盖，甚至接管整个存储桶。

1. Bucket名称爆破与枚举
2. 任意文件上传与覆盖
3. 存储桶公共访问权限
4. S3 Bucket接管（CNAME绑定失效）
5. AK/SK泄露后的存储桶数据访问
6. Bucket Object遍历
7. Bucket策略配置可写
8. S3存储桶未启用加密
9. ……

 

3、云服务器（EC2）

简介：EC2提供可扩展的虚拟服务器来托管各种应用。攻击者可以通过利用未修补的漏洞，访问元数据服务获取凭证，或通过弱口令、公开端口进入服务器。

1. SSRF漏洞利用元数据服务
2. 公开的SSH/RDP端口暴露
3. 镜像投毒
4. 弱口令/未授权访问EC2实例
5. EBS卷访问控制不严格
6. EC2实例未配置IAM角色
7. 未启用日志记录与监控
8. 元数据服务滥用获取临时凭证
9. EC2实例上的命令执行漏洞
10. 利用临时存储获取敏感信息
11. ……

 

4、云数据库（RDS/DynamoDB）

简介：RDS和DynamoDB用于存储业务数据，常作为核心数据库系统。攻击者可以通过泄露的AK/SK或弱口令访问这些数据库，进行数据提取、篡改或控制数据库实例。

1. AK/SK泄露后的数据库访问
2. RDS弱口令/未授权访问
3. 公网访问的RDS实例
4. RDS数据库未加密
5. 数据库凭证配置文件泄露
6. API滥用修改RDS配置或创建用户
7. RDS实例未启用删除保护
8. ……

 

5、容器服务（ECS/EKS）

简介：ECS和EKS帮助用户管理和部署容器化应用。容器服务的核心挑战是隔离性，攻击者通过容器逃逸、恶意镜像、或不当的权限配置，突破隔离边界，获取主机或集群的控制权，甚至在整个容器集群内横向扩展其攻击。

1. 容器逃逸
2. EKS集群VPC终端节点暴露
3. 容器镜像投毒
4. EKS默认VPC使用
5. 容器进程共享和横向移动
6. 不当的容器镜像权限
7. ECS服务允许外部访问
8. Kubernetes API滥用进行权限提升
9. ……

 

6、…… (此省略号表述的是不止有5类服务，还有其他服务，暂不表述)

 

AWS实时检测/主动检测

 

实时监测

告警事件：

1. CloudTrail 日志记录已禁用
2. S3存储桶通过ACL公开
3. Route 53 域已转移到另一个帐户
4. 亚马逊机器映像修改为公开共享
5. 工具使用：终局之战
6. ……

行为事件：

1. 为 root 用户创建新的访问密钥
2. 恢复并重置root用户密码
3. 根用户 MFA 已删除
4. 通过 CLI 创建访问密钥
5. 用户手动删除RDS数据库
6. ……

 

主动监测

基线扫描：

1. EKS 集群 VPC 终端节点公开访问
2. 未启用 CloudTrail 日志记录
3. IAM 用户未配置多因素认证 (MFA)
4. IAM 策略允许附加完全管理权限 (*)
5. 启用虚拟 MFA 的 IAM 根账户
6. ……

 

应对的安全需求场景

1. 云平台风险识别
2. 云资产风险配置识别
3. 云账户权限最小化
4. 恶意工具利用分析
5. 异常行为监控
6. 异常账户分析
7. 云合规性要求