商业云服务平台正在成为黑客对用户下手的渠道

捣蛋鬼皮皮

来自国外的Threat Stack网络安全团队的研究人员表示黑客利用正在利用商业云服务平台的特性对目标用户发起恶意活动，并隐藏自己的行踪。 越来越多的证据表明，黑客正在将目光对准云服务用户，利用公共云平台常见的功能来隐藏活动以长驻目标网络进行恶意活动。...
前言
来自国外的Threat Stack网络安全团队的研究人员表示黑客利用正在利用商业云服务平台的特性对目标用户发起恶意活动，并隐藏自己的行踪。
越来越多的证据表明，黑客正在将目光对准云服务用户，利用公共云平台常见的功能来隐藏活动以长驻目标网络进行恶意活动。
来自Threat Stack网络安全团队数年来一直在跟踪和观看黑客利用云服务的模式。一个明显的分水岭是2016年，他们注意到利用亚马逊网络服务（AWS）进行攻击的复杂性陡然上升。在2017年这种趋势更加明显。该团队指出，问题不在于AWS服务和软件存在漏洞，而在于黑客能够以巧妙的方式利用它的特性。
举个简单的例子：
黑客通常可以通过窃取AWS密钥来获得存储在开放S3容器中的资源路径，或者启动新的Amazon Elastic Compute Cloud（EC2）来挖矿。这种情况已经很常见了，在过去的几年里配置错误的S3容器好几次都登上了头条新闻。亚马逊强调默认情况下S3容器是安全的;，还推出了Macie以保护AWS S3数据，并通过Trusted Advisor提供免费的容器检查。
针对亚马逊推出的一系列安全服务，黑客这边也没有闲着。利用AWS进行恶意活动变得越来越复杂，针对性越来越强，可与基于网络的入侵攻击相结合。
工作原理
大多数这些攻击都始于凭证被窃取，黑客通过网络钓鱼窃取访问密钥或凭据，部署恶意软件以获取用户名和密码，或者是其他感兴趣的信息。
在获取凭证之后，下一步是确定可以获得的权限级别。如果没有黑客想要的东西，他可能会尝试在AWS中创建其他账户或凭据，然后在目标环境中启动新的EC2实例。
此时，黑客可在网络中调用EC2实例来扫描主机。登陆新主机后，黑客会检查其AWS权限。如果只是在寻找少量数据，那么在受感染的终端或主机上绕过DLP工具即可。具体怎么做取决于黑客的动机。
行为模式
这种情况通常出现在针对性的持续攻击中，黑客试图获得对特定数据的访问权限，包括制造业、金融业和高科技行业等都是他们的热门目标。
如何获取数据和数据量多大还是取决于目的。举个例子，如果公司存储医疗保健信息或选民记录，则黑客可能会批量查找数据。而黑客瞄准媒体公司的话，可能只想要知道即将发布的产品信息或更具体的内容，这样只要复制和粘贴或截取屏幕截图即可，这种方式更难察觉到。
总结
在AWS场景中，横向攻击难以被检测到的一个原因是，大多数安全监控技术都假设攻击者潜入主机并升级权限。而在这种情况下，黑客会尽量离开主机层返回到AWS控制平面，大多数安全人员可能都不会注意到这种操作。