人们需要担心的7种云计算攻击技术

更新日期: 2020-02-15阅读: 1.5k标签: 攻击

安全专家对网络攻击者针对企业云计算环境实施的常见和相关的攻击方法进行了阐述和分析。

随着越来越多的企业将业务迁移到云计算环境,寻求攻击的网络犯罪分子也是如此。而了解最新的攻击技术可以帮助企业更好地应对未来的威胁。

安全厂商WhiteHat Security公司首席技术官Anthony Bettini在日前召开的RSA安全大会上的一个小组讨论中说:“每当看到技术变革时,人们就会看到网络攻击泛滥成灾,他们或者对技术变革进行攻击,或者驾驭变革浪潮。”当企业在没有考虑安全状况的情况下而直接进入云平台中时,其安全团队可能不知所措,从而使数据和流程面临风险。

网络攻击者一直在寻找利用云计算技术进行攻击的新方法。以最近发现的“Cloud Snooper”攻击为例,这一攻击使用rootkit攻击企业的AWS云平台环境和内部部署防火墙,然后再将远程访问木马软件植入到基于云计算的服务器上。随着这些问题的不断出现,许多犯罪分子都采用经过实践检验的方法,例如强行使用凭据或访问存储在错误配置的S3存储桶中的数据。安全专家表示,企业的安全团队还有很多事情要跟上技术发展的步伐。

Securosis公司首席信息安全官Rich Mogull在RSA大会上谈到云平台中的网络攻击链时说,“当企业要利用现有的安全技能并且要进入一个完全不同的环境时,要弄清楚需要关注的重点以及真实情况到底是什么,这将是一个巨大的挑战。”

以下将讨论其中一些常见的攻击链以及其他云计算攻击技术,这些都是安全专家和网络犯罪分子的首要考虑因素。


1.凭证泄露导致帐户被劫持

导致帐户劫持的api凭据公开是云平台中的一个高严重性的攻击链。Mogull表示,这种攻击确实是比较常见的攻击之一。

静态凭据是指用户访问密钥或Azure中的软件即服务(SaaS)令牌等。他解释说:“我们之所以必须使用这些密码,是因为用户希望某些内部部署数据中心在与云平台对话时,需要具备某种用户名/密码凭证的能力。”

当网络攻击者获得其中一个访问密钥时,他们可以在受其控制的主机或平台上使用它,并执行API调用以进行恶意操作或特权升级。这些密钥通常是通过GitHub、BitBucket、共享图像、快照公开等方式泄露。网络攻击者反编译Google Play商店应用并提取静态凭据,然后使用这些凭据。有人可能会侵入开发人员的笔记本电脑或实例,并查看他们的命令历史记录或配置文件,以找到允许他们进入云计算环境的访问密钥。

Mogull说:“我认为,这确实是当今云计算攻击的较大载体,这是其中一种方法。尤其是公开发布内容。”他建议,用户尽量减少使用其凭证,并在代码存储库和公司GitHub中进行扫描。因为一旦这些密钥对外泄露,网络攻击者只需几分钟就可以尝试对其基础设施进行攻击。


2.配置错误

星巴克公司全球首席信息安全官Andy Kirkland在今年的RSA信息峰会上的一次演讲中表示,配置错误在很大程度上或至少部分是“影子IT的品牌重塑”。几乎任何人都可以得到一个S3存储桶,并随心所欲地使用。而与错误配置有关的网络攻击仍然会发生,因为企业经常无法保护其在公共云中的信息。

在这种情况下,敏感数据被放置在对象存储中,并且没有得到适当的保护。访问控制可以设置为公共或匿名;存储桶策略或网络安全策略可能过于宽松;或将公共内容分发网络(CDN)设置为私有数据。网络攻击者扫描并发现一个打开的数据存储,然后提取他们想要的数据。

Mogull说,“这些默认值是安全的,但是可以很容易地将它们公开。”云计算提供商提供了减少这种情况的工具,但这仍然会给企业带来痛苦。他建议进行持续评估,并特别注意对象级别权限:在更改存储桶级别权限时,并不总是更改对象级别权限。

他说:“这种问题确实很难解决,因为有些企业在这些环境中有成千上万的对象,现在他们必须通过尝试并找到它们。最好的办法是使用控件不要让任何人公开此信息。”

Mogull表示,如果确实需要公开某些内容,则可以配置环境,以使所有内容保持原状,但以后不能公开其他内容。

Oracle Cloud安全产品管理高级总监Johnnie Konstantas说,“越来越多的关键工作负载运行在公共云中。我认为,公共云提供商有责任进行这种对话并谈论其内容。”


3.主要的云计算服务是热门目标

随着越来越多的组织迁移到云平台中,网络攻击者也在这样做。这在模拟流行云计算服务(如Office 365)的登录页面的钓鱼攻击中很明显。网络罪犯正在寻找能给他们提供云计算服务密钥的凭据。

趋势科技公司全球威胁通信负责人说:“不幸的是,许多企业仍然使用安全性薄弱的凭据。使用凭证填充的部分原因是,网络攻击者开始将具有网络钓鱼页面与网络基础设施和帐户联系的网络钓鱼电子邮件进行定位。”

Imperva公司在其最近发布的《网络威胁指数》调查报告指出,网络犯罪分子正在更多地利用公共云,该报告发现在2019年11月至2019年12月之间源自公共云的网络攻击增加了16%。亚马逊网络服务是比较受欢迎的来源,所有网络攻击中有52.9%来自公共云。Imperva公司提供了这些统计信息,他说这表明云计算提供商应审核其平台上的恶意行为。

在另一个关于滥用主要云服务的问题上,研究人员报告了一种新的下载程序,主要用于下载远程访问特洛伊木马和信息窃取程序。据Proofpoint报道,“GuLoader在多个威胁组织中越来越受欢迎,通常会将加密的有效载荷存储在Google Drive或Microsoft OneDrive上。它经常被嵌入到容器文件中,比如.iso或.rar,但是研究人员也看到它直接从云计算托管平台下载。”


4.加密挖矿

当他们进入云端时,许多网络攻击者继续从事加密挖矿:大多数企业面临的是严重性较低的攻击。Mogull说,“每个拥有云计算账户的人都处理过这个问题。”

网络攻击者可以获得RunInstance、虚拟机或容器的凭据、运行大型实例或虚拟机,运行并注入Cryptominer并连接到网络,然后对其结果进行筛选。或者,它们可能危害泄露的实例、虚拟机或容器,并在其中注入Cryptominer。

星巴克公司首席安全架构师Shawn Harris说,“78%的网络攻击都是由财务驱动的,这是一种通过访问获利的非常快速的方法。”

趋势科技公司的Clay指出,服务器仍然是最好的加密平台,但是具有访问权限的攻击者正在采取措施隐瞒其活动,以躲避企业的监视。


5.服务器端请求伪造

服务器端请求伪造(SSRF)是一种危险的攻击方法,也是云计算环境中日益严重的问题。SSRF使用了元数据API,它允许应用程序访问底层云基础设施中的配置、日志、凭据和其他信息。元数据API只能在内部部署数据中心访问,但是,SSRF漏洞使它可以从全球互联网访问。如果受到网络攻击,网络攻击者可以横向移动并进行网络侦察。

Mogull说,这是一次更加复杂的攻击。网络攻击者首先识别出具有潜在服务器端请求伪造(SSRF)漏洞的实例或容器,利用该实例或容器通过元数据服务提取凭据,然后在网络攻击者的环境中使用凭据建立会话。网络攻击者在那里可以执行API调用以提升特权或采取其他恶意措施。

要使服务器端请求伪造(SSRF)成功,必须做一些事情:必须向全球互联网公开某些内容,它必须包含服务器端请求伪造(SSRF)漏洞,并且必须具有允许它在其他地方工作的身份和访问管理(IAM)权限。他补充说,现在必须具有元数据服务的一个版本。


6.云计算供应链中的差距

Splunk公司高级副总裁兼安全市场总经理Song Haiyan认为,企业没有充分考虑将云计算数字供应链视为潜在的安全风险,也没有考虑在这种环境下事件响应的影响。

她解释说:“我们使用的许多服务和应用程序不仅仅是来自一家公司。”例如,当采用一个共享应用程序订购汽车时,会涉及到多个参与者:一家支付公司处理交易,另一家提供GPS数据。如果有人破坏了这个过程的一部分,那么当所有这些API都由不同的供应商控制时,将如何处理事件响应?

Song Haiyan补充说:“我们处于API经济中。”应用程序是使用API服务构建的,但是如果云中出现问题,则其背后的组织将需要适当的可见性和流程来处理它。是否具有服务级别协议(SLA)和事件响应安排?如何提供可见性和跟踪性?知道提供者是谁吗?能了解他们的声誉吗?她补充说:“企业与状况良好的供应商合作很有帮助。”


7.强力攻击和访问即服务

对于Clay而言,强力攻击是首要大事。他说,网络攻击者已开始制作带有链接到与云计算基础设施和帐户相关的恶意页面的钓鱼邮件。弹出窗口可能会提示受害者在Office 365和其他云计算应用程序的虚假登录页面中输入其用户名和密码。

他说:“他们都在寻找证书。”一些网络攻击者使用该访问权限进行加密挖矿或寻找数据。Clay看到的一种发展趋势是暗网上的访问即服务的销售。网络攻击者可以访问组织的云计算环境,然后为另一个威胁组管理该访问。例如,运营商Emotet公司可能会将其访问权出售给Sodinokibi或Ryuk勒索软件运营商。Clay指出,很多勒索软件团体都在采用这种技术。

原文 http://cloud.51cto.com/art/202003/612580.htm

链接: https://fly63.com/article/detial/8226

15行CSS代码攻击会导致 iOS 系统重启或 Mac 冻结

Wire 的安全研究员 Sabri Haddouche 发现了一种新的攻击,只需访问包含某些 CSS 和 HTML 的网页,就会导致 iOS 重新启动或重新启动以及 macOS 冻结。 Windows 和 Linux 用户不受此错误的影响。

前端安全系列之如何防止 XSS 攻击?

前端是引发企业安全问题的高危据点,XSS 攻击是页面被注入了恶意的代码,本文我们会讲解 XSS ,主要包括:XSS 攻击的介绍,XSS 攻击的分类,XSS 攻击的预防和检测,XSS 攻击的总结,XSS 攻击案例

一种新型的Web缓存欺骗攻击技术

为了减少WEB响应时延并减小WEB服务器负担,现在WEB缓存技术已经用的非常普遍了,除了专门的CDN,负载均衡以及反向代理现在也会缓存一部分的网页内容。这里我要介绍一种WEB缓存欺骗攻击技术,这种攻击技术针对Paypal有成功的攻击案例。

WEB网站常见受攻击方式及解决办法

站脚本攻击(XSS,Cross-site scripting)是最常见和基本的攻击WEB网站的方法。攻击者在网页上发布包含攻击性代码的数据。当浏览者看到此网页时,特定的脚本就会以浏览者用 户的身份和权限来执行。

CSS注入

CSS仅仅只是一种用来表示样式的语言吗?当然不是!CSS就已被安全研究人员运用于渗透测试当中,以下行为有可能受到CSS注入攻击:从用户提供的URL中引入CSS文件;CSS代码中采用了用户的输入数据

网络攻击的表现形式有哪些?

对于网络攻击,应该很多人都知道是怎么一回事吧。简单来说,就是犯罪分子通过互联网网络对某家企业发起的恶意破坏,窃取数据等操作来影响该企业的正常运营。互联网技术没有那么先进的时候

CC防御过程中,WAF的主要特点有哪些?

一部分网站和游戏,以及金融的企业网站负责人员对于流量攻击应该属于耳熟能详。对此问题一直也是他们最头疼的。因此在解决DDoS攻击和CC攻击防御的过程中,运用了WAF指纹识别架构去做相对应的权限策略,以此避免误封正常的用户访问请求

DDOS攻击常见的类型

互联网”指的是全球性的信息系统,是能够相互交流,相互沟通,相互参与的互动平台。随着互联网的飞速发展,越来越多的网站应运而生,但各种问题也随之而来。其中最严重的莫过于网络安全问题,应该象每家每户的防火防盗问题一样

XSS自动点按钮有什么危害?如何让按钮不被 JS 自动点击?

在社交网络里,很多操作都是通过点击按钮发起的,例如发表留言。假如留言系统有 XSS,用户中招后除了基本攻击外,还能进行传播 —— XSS 自动填入留言内容,并模拟点击发表按钮,于是就能发布带有恶意代码的留言

网站被攻击最常见的症状

小编我遇见了很多的网站客户反映说受到了DDoS攻击和CC攻击,被攻击对于开发运营维护人员,对此他们也表示很头疼。现阶段大多数网站使用的开发语言是PHP,JAVA,.net,数据库语言使用的是mysql,oracle等

点击更多...

内容以共享、参考、研究为目的,不存在任何商业目的。其版权属原作者所有,如有侵权或违规,请与小编联系!情况属实本人将予以删除!