皇冠体育寻求亚洲战略合作伙伴,皇冠代理招募中,皇冠平台开放会员注册、充值、提现、电脑版下载、APP下载。

首页科技正文

万利矿业(www.ipfs8.vip):攻击者可以行使 AWS VPC 提供的一个功效隐藏自身 IP

admin2021-06-0813资讯

Amazon Virtual Private Cloud (Amazon VPC)允许你在已界说的虚拟网络内启动AWS资源。这个虚拟网络与你在数据中央中运行的传统网络极其相似,并会为你提供使用AWS的可扩展基础设施的优势。简朴来说,VPC就是一个AWS用来隔离你的网络与其他客户网络的虚拟网络服务。在一个VPC内里,用户的数据会逻辑上地与其他AWS租户星散,用以保障数据平安。可以简朴地明晰为一个VPC就是一个虚拟的数据中央,在这个虚拟数据中央内我们可以确立差其余子网(公有网络和私有网络),搭建我们的网页服务器、应用服务器、数据库服务器等等服务。VPC有如下特点:

· VPC内可以确立多个子网;

· 可以在选择的子网上启动EC2实例;

· 在每一个子网上分配自己计划的IP地址;

· 每一个子网设置自己的路由表;

· 确立一个Internet Gateway而且绑定到VPC上,让EC2实例可以接见互联网;

· VPC对你的AWS资源有更平安的珍爱;

……

AWS VPC起劲在整个企业中识别和检测攻击者的手艺;在终端、内陆和云上,Hunters 团队研究了一种使用 VPC 功效的手艺,允许客户控制他们的 IP 地址。攻击者可以使用它来控制在接见受熏染账户时写入 AWS CloudTrail 日志的 IP 地址。这可能使攻击者能够诱骗依赖 Cloudtrail 日志的种种平安珍爱措施,例如 SIEM 和云平安工具。其中包罗但不限于 GuardDuty、Rapid7 和 Lacework。此外,寻找攻击证据的剖析师可能会忽略它。

这篇文章回首了混淆处置手艺的手艺细节,并提供了可行的措施建议。

攻击者控制CloudTrail SourceIP

通过控制他们的源 IP 地址,攻击者可以隐藏起来,从而可能绕过完全依赖于 AWS CloudTrail 的平安措施。

因此,通过使恶意行为看起来似乎是由正当工具执行的,这就可以使恶意行为看起来是无害的,而且很难检测攻击痕迹并将入侵归因于特定的泉源。

若是你的平安工具仅依赖 AWS CloudTrail 日志中的 sourceIP 字段,缓解措施如下。

手艺剖析

为了乐成执行这种手艺,攻击者需要从受害者账户获得正当 AWS 凭证的接见权限,然后确立 VPC 终端,该功效允许你的 VPC 中的 EC2 实例和 AWS 服务在他们自己的账户内举行直接通讯。确立一个IP局限的VPC,当他们使用被损坏的凭证时,可以混淆他们的流量。以下是我们需要形貌的要害功效,以注释若何使用该手艺:

CloudTrail 日志有一个“sourceIPAddress”字段。该字段包罗攻击者的 IP 地址,在大多数情形下是公共 IPv4 地址。

然则,若是攻击者在AWS VPC内通过VPC的终端发出AWS API请求,则CloudTrail日志中登录的IP地址就是VPC中“内部”EC2的IP地址,即攻击者能够控制的IP地址。

用户可以在VPC内设置随便IPv4地址局限,包罗rfc1918地址局限和可对外路由的IP地址局限。可果然路由的IP块只能通过虚拟专用网关接见,不能通过Internet网关接见。这允许攻击者确立一个IP寻址方案,模拟受害者自己的网络或信誉优越的外部服务。

另一个主要的事实是,登录到CloudTrail中的userAgent字段显示了攻击者的userAgent字符串,它完全由举行API挪用的攻击者控制。然而,这并不是该手艺的直接组成部门,当使用它时,它可以辅助进一步使模拟历程看起来正当。

在私有 AWS 账户(攻击者账户“A”)中确立了一个带有我们选择的私有 IP CIDR 块 (12.34.56.0/24) 的 VPC。

然后,我们在这个 VPC 中确立了一个 EC2 实例,并选择了它的私有 IPv4 地址为 12.34.56.78。

带有“外部”私有IPv4地址的攻击者装备

我们在受害者的帐户(“B”)中天生了 API 凭证,作为在使用该手艺之前被攻击者损坏的凭证。

然后,我们在攻击者 EC2 实例上的 ~/.aws/credentials 文件中设置了这些“被盗”凭证,以便从攻击者控制的账户 A 中的实例发出的 AWS CLI 挪用将使用它们。

接下来,我们在攻击者帐户中为我们计划举行 API 挪用的服务确立了 VPC 终端。

我们从可以确立VPC终端的125个AWS服务中选择了44个最主要服务的子集,而且为每个服务选择了一个不需要任何特定参数的API挪用。

为了验证该手艺,我们举行了测试。为了举行对照,我们首先从 EC2 实例对服务执行 API 挪用,而不是通过 VPC 终端举行隧道传输。这些挪用以实例的公共 IP 地址作为源 IP 显示在 CloudTrail 日志中。

,

AllbetGmaing下载

欢迎进入AllbetGmaing下载(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

在下一步中,我们为上述服务确立了 VPC 终端节点,并在每个服务中重新运行 AWS CLI 下令,这次是通过 VPC 终端节点。

测试乐成,在 CloudTrail 日志中显示了攻击者选择的“内部”IP 地址作为源 IP。

攻击者可以出于许多差其余目的混淆他们的 IP 地址,以下是一些示例:

1.“组织”公共 IP 地址:若是攻击者网络有关受害组织的公共 Internet 基础设施的信息,则攻击者可以使用与其公共基础设施的某些部门相对应的公共 IP。好比公司的外部 VPN IP 地址。

2.员工“家庭”外部 IP 地址:若是攻击者获得有关员工在脱离办公室时使用的外部 IP 地址的情报,他们可以选择该 IP,从而错误地将任何考察指向“无辜”员工。好比云 IT 治理员的家庭 IP 地址。

3.第三方服务提供商的公共IP地址:攻击者可以在 AWS 客户环境中使用属于第三方服务提供商的已知公共 IP 地址,从而增添逃避威胁情报和信誉服务的时机。由于有时这些 IP 可能被 AWS 客户列入白名单,攻击者甚至可以执行更大量的敏感 API 挪用。

示例 1:使用属于企业云平安产物的 IP 地址(最好是受害组织使用的 IP 地址)。

示例 2:使用 198.20.69.74,盛行的互联网扫描 Shodan 从中扫描整个互联网。

4.一个特殊的私有、保留、测试或仅用于文档的 IPv4 子网块:有 4-5 个子网被界说为用于暂且目的的“保留 IP”,使用其中一个还可以辅助规避信誉服务,完整列表可在此处获得。

示例:使用 TEST-NET 子网中的 IP 地址(192.0.2.0/24、198.51.100.0/24 或 203.0.113.0/24)。

哪些 AWS 服务支持 VPC 终端节点接见

此手艺只能用于对可以为其确立 VPC 终端节点的 AWS 服务举行 API 挪用。然则,停止 2021 年 5 月,可以为 125 种差其余 AWS 服务确立 VPC 终端节点,包罗大多数著名的 AWS 服务(例如 EC2、S3、Lambda、STS、DynamoDB、Secrets Manager 等),唯一主要的破例是我们已经看到是 IAM。

此外,AWS 正在不停扩展 VPC 终端支持的服务列表。可以在 AWS 门户中查看受支持服务的完整列表。

需要注重的是:

1.该手艺不会影响攻击者在使用受害者已泄露的 AWS API 凭证时拥有的现实 IAM 权限,他们只能举行被盗凭证具有 IAM 权限的 API 挪用。

2.使用此手艺时,攻击者控制的源 IP 是在 AWS 治理控制台中查看 CloudTrail 服务中的 CloudTrail 事宜历史纪录以及 CloudTrail 以 JSON 文件写入 S3 的事宜中纪录的源 IP。

3.仅凭证纪录的 IP 无法将攻击者识别为组织外部的攻击者,也无法确定其真实泉源。然则,可以确定所涉及的 VPC 不属于该组织。

这可以用于绕过基于 IP 的 IAM 计谋吗

我们测试了是否可以使用此手艺绕过基于 IAM 源 IP 的计谋(使用 aws:SourceIp 密钥)。该测试假设,在某些情形下,组织设置此类计谋,只允许来自特定子网的某些敏感 AWS 操作。

在这种假设下,我们测试了在这种情形下,若是攻击者使用响应的“内部”IPv4 CIDR 块确立 VPC 并使用 VPC 终端,他们是否可以乐成挪用敏感的 AWS API,从而“绕过”此类计谋。

我们发现(详情点这里https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html,condition-keys-sourceip)当 API 挪用通过 VPC 终端完成时,aws:SourceIp 密钥不能用(相反,aws:VpcSourceIp 可用),因此该手艺不能用于绕过此类 IAM 计谋。

若何在你的运行环境中检测此类流动:

通常,当 AWS API 挪用通过 VPC 终端节点完成时,可选的 vpcEndpointID CloudTrail 字段会被填充(使用 VPC 终端节点的 ID),与所有其他挪用差异,这些挪用不填充该字段。这是该手艺在日志中唯一的残留用法。

鉴于此,我们的第一个建议是查看 vpcEndpointID 字段。

检测使用不在你在 VPC 中使用的任何私有 IP 局限内的 IP 地址的攻击者相对容易,这可以通过查找通过 VPC 终端节点(带有填充的 vpcEndpointId 字段)和不在你的 VPC 中使用的私有 IP 局限内的源 IP 地址执行的任何 AWS API 挪用来完成。

SQL 检测查询示例

然则,检测攻击者使用的IP地址在你的任何vpc中都是有用的私有IP地址,这是异常难题的。这是由于当你在环境中使用VPC终端时,攻击者的正当行为和攻击者的行为发生的日志唯一的区别就是纪录的特定 VPC 终端节点 ID。我们建议使用更多基于异常的检测逻辑来解决这个用例,检测组织中从未见过的新 VPC 终端节点 ID 的使用情形

最后,我们建议 AWS CloudTrail 用户将他们的云事宜与终端、内陆、电子邮件、身份等上的其他传感器举行交织引用。跨攻击面的综合自动检测是发现被忽略威胁的最有用方式。

本文翻译自:https://www.hunters.ai/blog/hunters-research-detecting-obfuscated-attacker-ip-in-aws

IPFS招商官网

IPFS招商官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS招商官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

网友评论