「來源: |web安全工具庫 ID:websec-tools」
雲計算在帶來便利的同時,也帶來了新的安全技術風險、政策風險和安全合規風險。
那麼,如何設計雲計算安全架構、如何保障雲計算平臺的安全合規、如何有效提升安全防護能力是需要研究的重要課題。
本文就先來介紹一下ATT&CK雲安全攻擊模型。
01
ATT&CK定義
ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)是由MITRE公司在2013年推出的,包含對抗策略、技術和常識,是網路對抗者(通常指駭客)行為的精選知識庫和模型,反映了攻擊者攻擊生命週期的各個階段,以及已知的攻擊目標平臺。
ATT&CK根據真實的觀察資料來描述和分類對抗行為,將攻擊者的攻擊行為轉換為結構化列表,並以矩陣、結構化威脅資訊表示式(Structured Threat Informatione Xpression,STIX)和指標資訊的可信自動化交換(Trusted Automatede Xchangeof Indicator Information,TAXII)的形式來表示。
由於此列表全面地呈現了攻擊者在攻擊網路時所採用的行為,因此它對各種具有進攻性和防禦性的度量、表示和其他機制都非常有用。
從視覺角度來看
,ATT&CK矩陣按照易於理解的格式將所有已知的戰術和技術進行排列。
攻擊戰術展示在矩陣頂部,每列下面列出了單獨的技術。
一個攻擊序列至少包含一個技術,並且從左側(初始訪問)向右側(影響)移動,這樣就構建了一個完整的攻擊序列。一種戰術可能使用多種技術,如攻擊者可能同時嘗試魚叉式網路釣魚攻擊中的釣魚郵件和釣魚連結。
ATT&CK戰術按照邏輯分佈在多個矩陣中,並以“初始訪問”戰術開始,如傳送包含惡意附件的魚叉式網路釣魚郵件就是該戰術下的一項技術。
ATT&CK中的每一種技術都有唯一的ID號碼,如技術T1193。矩陣中的下一個戰術是“執行”,在該戰術下有“使用者執行T1204”技術,該技術描述了在使用者執行特定操作期間執行的惡意程式碼。在矩陣後面的階段中,你將會遇到“提升特權”“橫向移動”和“滲透”之類的戰術。
攻擊者不會使用矩陣頂部所有的12項戰術
,相反,他們會使用最少數量的戰術來實現目標,因為這可以提高效率並且降低被發現的機率。
例如,攻擊者使用電子郵件中傳遞的魚叉式網路釣魚連結對CEO行政助理的憑證進行“初始訪問”,在獲得管理員的憑證後,攻擊者將在“發現”階段尋找遠端系統。接下來可能是在Dropbox資料夾中尋找敏感資料,因為管理員對此也有訪問許可權,因此無須提升許可權。最後攻擊者透過將檔案從Dropbox下載到計算機來完成收集。
02
ATT&CK使用場景
在各種日常環境中,ATT&CK都很有價值。當開展防禦活動時,可以將ATT&CK分類法作為預判攻擊者行為的參考依據。
ATT&CK不僅能為網路防禦者提供通用技術庫,還能為滲透測試和紅隊提供基礎,即通用語言。
組織可以以多種方式來使用ATT&CK,下面是一些常見的場景。
1。
對抗模擬
ATT&CK可用於建立對抗性模擬場景,對常見對抗技術的防禦方案進行測試和驗證。
2. 紅隊/滲透測試活動
攻防雙方的滲透測試活動的規劃、執行和報告可以使用ATT&CK,為防禦者和報告接收者提供一種通用語言。
3. 制定行為分析方案
ATT&CK可用於構建和測試行為分析方案,以檢測環境中的對抗行為。
4. 防禦差距評估
ATT&CK可以用於以行為為核心的常見對抗模型中,以評估組織內現有防禦方案中的工具、監視和緩解措施。
在研究 ATT&CK時,大多數安全團隊都傾向於為Enterprise矩陣中的每種技術嘗試開發某種檢測或預防控制措施。雖然這並不是一個壞主意,但是ATT&CK矩陣中的技術通常可以透過多種方式執行。因此,阻止或檢測執行這些技術的一種方法並不一定意味著涵蓋了執行該技術的所有可能方法。
由於某種工具阻止了用另一種形式來採用這種技術,而組織機構已經適當地採用了這種技術,這可能會產生一種虛假的安全感。這時,攻擊者仍然可以採用其他方式來採用該技術,但防禦者卻沒有任何檢測或預防措施。
5. SOC成熟度評估
ATT&CK可作為一種度量,確定SOC在檢測、分析和響應入侵方面的有效性。
SOC團隊可以參考ATT&CK已檢測或未涵蓋的技術和戰術,這有助於瞭解防禦的優勢和劣勢並驗證緩解和檢測控制措施,以便發現配置錯誤和其他操作問題。
6. 網路威脅情報收集
ATT&CK對網路威脅情報很有用,因為ATT&CK是在用一種標準方式描述對抗行為,是根據攻擊者利用的ATT&CK技術和戰術來跟蹤攻擊主體。
這就為防禦者提供了一個路線圖,以便他們可以對照操作控制措施,針於某些攻擊主體檢視自己的弱點和優勢。針對特定的攻擊主體建立ATT&CK導航工具內容,是一種觀察環境中攻擊主體或團體的優勢和劣勢的好方法。
ATT&CK還可以為STIX和TAXII 2。0提供內容,從而很容易地將支援這些技術的現有工具納入其中。
03
AWS ATT&CK雲模型
隨著雲計算平臺的快速發展,對雲基礎設施的攻擊也顯著增加。
2019年AWS針對雲攻擊推出了AWS ATT&CK雲模型,下面針對雲攻擊模型的攻擊戰略和戰術,以及防護和緩解措施做詳細的介紹。
1. 初始訪問
攻擊者試圖進入你的網路。
初始訪問是使用各種入口向量在網路中獲得其初始立足點的技術。
其用於立足的技術包括針對性的魚叉式欺騙和利用面向公眾的Web伺服器上的安全漏洞獲得的立足點,例如有效賬戶和使用外部遠端服務等。
攻擊者透過利用面向網際網路的計算機系統或程式中的弱點,產生破壞行為,這些弱點可能是錯誤、故障或設計漏洞等。
這些應用程式通常是指網站,但也包括資料庫(如SQL)、標準服務(如SMB或SSH),以及具有Internet(因特網)可訪問開放套接字的任何其他應用程式,如Web伺服器和相關服務。
如果應用程式託管在基於雲的基礎架構上,則對其使用可能會導致基礎例項受到損害,如使對手獲得訪問雲API或利用弱身份和訪問管理策略的路徑。
對於網站和資料庫,OWASP(Open Web Application Security Project,開放式Web應用程式安全性專案)公示的前十大安全漏洞和CWE(Common Weakness Enumeration,常見弱點列舉)排名前25位,突出了最常見的基於Web的漏洞。
2. 執行
執行策略是使攻擊者控制的程式碼在本地或遠端系統上執行的技術。
此策略通常與初始訪問結合使用,作為獲得訪問許可權後執行程式碼的手段,以及橫向移動以擴充套件對網路遠端系統的訪問許可權。
有權訪問AWS控制檯的攻擊者可以利用API閘道器和Lambda建立能夠對賬戶進行更改的後門,那麼一組精心設計的命令就會觸發Lambda函式返回角色的臨時憑證,然後將這些憑證新增到本地AWS CLI(AWS Command-Line Interfoce,AWS命令列介面)配置檔案中來建立惡意使用者。
3. 永續性
對手試圖保持立足點。
永續性是指攻擊者利用重新啟動、更改憑證等手段對系統訪問的技術組成。攻擊駐留技術包括任何訪問、操作或配置更改,以便使它們能夠在系統內持久隱藏,例如替換、劫持合法程式碼或新增啟動程式碼。
Amazon Web Service Amazon Machine Images(AWS AMI),Google Cloud Platform(GCP)映像和Azure映像,以及容器在執行時(如Docker)都可以被植入後門以包含惡意程式碼。如果指示基礎架構配置的工具始終使用最新映像,則可以提供永續性訪問。
攻擊者已經開發了一種工具,可以在雲容器映像中植入後門。如果攻擊者有權訪問受感染的AWS例項,並且有權列出可用的容器映像,則他們可能會植入後門,如Web Shell。攻擊者還可能將後門植入在雲部署無意使用的Docker映像中,這在某些加密挖礦殭屍網路例項中已有報道。
4. 提升許可權
攻擊者可以使用憑證訪問技術竊取特定使用者或服務賬戶的憑證,或者在偵察過程的早期透過社會工程來獲取憑證以獲得初始訪問許可權。
攻擊者使用的賬戶可以分為三類:預設賬戶、本地賬戶和域賬戶。
預設賬戶
是作業系統內建的賬戶,如Windows系統上的Guest和Administrator賬戶,或其他型別的系統、軟體、裝置上的預設工廠或提供者設定賬戶。
本地賬戶
是由組織配置的賬戶,供使用者遠端支援、服務或在單個系統或服務上進行管理。
域賬戶
是由Active Directory域服務和管理的賬戶,其中為跨該域的系統和服務配置訪問許可權。域賬戶可以涵蓋使用者、管理員和服務。
受損的憑證可能會用於繞過放置在網路系統上各種資源的訪問控制,甚至可能會用於對遠端系統和外部可用服務(如VPN,Outlook Web Access和遠端桌面)的持久訪問。
受損的憑證也可能會增加攻擊者對特定系統或訪問網路受限區域的特權。攻擊者可能不選擇將惡意軟體或工具與這些憑證提供的合法訪問結合使用,以便更難檢測到它們的存在。
另外,攻擊者也可能會利用公開披露的私鑰或被盜的私鑰,透過遠端服務合法連線到遠端環境。
在整個網路系統中,賬戶訪問權、憑證和許可權的重疊是需要關注的,因為攻擊者可能會跨賬戶和系統進行輪轉以達到較高的訪問級別(即域或企業管理員),從而繞過訪問控制。
5. 防禦繞過
攻擊者試圖避免被發現。
防禦繞過包括攻擊者用來避免在整個攻擊過程中被發現的技術。
逃避防禦所使用的技術包括解除安裝或禁用安全軟體或對資料和指令碼進行混淆或加密。攻擊者還會利用和濫用受信任的程序來隱藏和偽裝其惡意軟體。
攻擊者在執行惡意活動後可能會撤回對雲實例所做的更改,以逃避檢測並刪除其存在的證據。在高度虛擬化的環境(如基於雲的基礎架構)中,攻擊者可以透過雲管理儀表板使用VM或資料儲存快照的還原輕鬆達到此目的。
該技術的另一個變體是利用附加到計算例項的臨時儲存。大多數雲服務商都提供各種型別的儲存,包括永續性儲存、本地儲存和臨時儲存,後者通常在VM停止或重新啟動時被重置。
6. 憑證訪問
攻擊者試圖竊取賬戶名和密碼。
憑證訪問包括用於竊取憑證(如賬戶名和密碼)的技術,包括金鑰記錄和憑證轉儲。若攻擊者利用了合法的憑證訪問系統,則更難被發現,此時攻擊者可以建立更多賬戶以幫助其增加最終實現目標的機率。
攻擊者可能會嘗試訪問雲實例元資料API,以收集憑證和其他敏感資料。
大多數雲服務商都支援雲實例元資料API,這是提供給正在執行的虛擬例項的服務,以允許應用程式訪問有關正在執行的虛擬例項的資訊。
可用資訊通常包括名稱、安全組和其他元資料的資訊,甚至包括敏感資料(如憑證和可能包含其他機密的UserData指令碼)。提供例項元資料API是為了方便管理應用程式,任何可以訪問該例項的人都可以訪問它。
如果攻擊者在執行中的虛擬例項上存在,則他們就可以直接查詢例項元資料API,以標識授予對其他資源訪問許可權的憑證。
此外,攻擊者可能會利用面向公眾的Web代理中的伺服器端請求偽造(Server-Side Request Forgery,SSRF)漏洞,該漏洞可以使攻擊者透過對例項元資料API的請求訪問敏感資訊。
7. 發現
攻擊者試圖找出你的環境。
發現包括攻擊者可能用來獲取有關係統和內部網路知識的技術。
這些技術可幫助攻擊者在決定採取行動之前觀察環境並確定方向。它們還允許攻擊者探索他們可以控制的東西及進入點附近的東西,以便發現如何使他們當前的目標受益。
攻擊者可以透過查詢網路上的資訊,來嘗試獲取與他們當前正在訪問的受感染系統之間或從遠端系統獲得的網路連線的列表。
獲得基於雲環境的一部分系統訪問權的攻擊者,可能會規劃出虛擬私有云或虛擬網路,以便確定連線了哪些系統和服務。
針對不同的作業系統,所執行的操作可能是相同型別的攻擊發現技術,但是所得資訊都包括與攻擊者目標相關的聯網雲環境的詳細資訊。不同雲服務商可能有不同的虛擬網路運營方式。
8. 橫向移動
橫向移動由使攻擊者能夠訪問和控制網路上的遠端系統的技術組成,並且可以但不一定包括在遠端系統上執行工具。
橫向移動技術可以使攻擊者從系統中收集資訊,而無須其他工具,如遠端訪問工具。
如果存在交叉賬戶角色,攻擊者就可以使用向其授予AssumeRole許可權的憑證來獲取另一個AWS賬戶的憑證。在預設情況下,當使用AWS Organization時,父賬戶的使用者可以在子賬戶中建立這些交叉賬戶角色
攻擊者可以識別可用作橫向移動橋接器的IAM角色,並在初始目標賬戶中搜索所有IAM使用者、組、角色策略及客戶管理的策略,並識別可能的橋接IAM角色。
在AssumeRole事件的初始目標賬戶中,攻擊者使用兩天的預設回溯視窗配置和1%的取樣率收集有關任何跨賬戶角色假設的資訊。有了潛在的橋接IAM角色列表,MadDog就可以嘗試獲取可用於橫向移動的臨時憑證賬戶了。
透過波動模式,攻擊者可以使用MadDog透過從每個被破壞賬戶中獲得的憑證來破壞儘可能多的AWS賬戶。透過永續性模式,MadDog將在每個違規賬戶下建立一個IAM使用者,以進行直接和長期訪問,而無須遍歷橫向移動最初使用的AWS角色鏈。
9. 縱向移動
縱向移動包括使攻擊者能夠訪問和控制系統並同時在兩個不同的平面(即網路平面和雲平面)上旋轉的技術。
攻擊者可以使用AWS SSM(Simple Server Manager)來獲得具有適當許可權的AWS憑證在計算機中的反向Shell。藉助雲的控制,攻擊者可以向自己授予讀取網路中所有硬碟的許可權,以及在磁碟中搜尋憑證或使用者的許可權。
10. 收集
攻擊者正在嘗試收集目標感興趣的資料。
收集包括攻擊者用來收集資訊的技術。
通常,收集資料後的下一個目標是竊取(洩露)資料。常見的目標來源包括各種驅動器型別、瀏覽器、音訊、影片和電子郵件。
常見的收集方法包括捕獲螢幕截圖和鍵盤輸入。
攻擊者可能會從安全保護不當的雲端儲存中訪問資料物件。
許多雲服務商都提供線上資料儲存解決方案,如Amazon S3,Azure儲存和Google Cloud Storage。
與其他儲存解決方案(如SQL或Elasticsearch)的不同之處在於,它們沒有總體應用程式,它們的資料可以使用雲服務商的API直接檢索。雲服務商通常會提供安全指南,以幫助終端使用者配置系統。
終端使用者的配置出現錯誤是一個普遍的問題,發生過很多類似事件,如雲儲存的安全保護不當(通常是無意中允許未經身份驗證的使用者進行公共訪問,或者所有使用者都過度訪問),從而允許公開訪問信用卡、個人身份資訊、病歷和其他敏感資訊。
攻擊者還可能在源儲存庫、日誌等中獲取洩露的憑證,以獲取對具有訪問許可權控制的雲端儲存物件的訪問權。
11. 滲透與資料竊取
攻擊者試圖竊取資料。
滲透由攻擊者用來從網路中竊取資料的技術組成。攻擊者收集到資料後,通常會對其進行打包,避免在刪除資料時被發現,這包括資料壓縮和資料加密。用於從目標網路中竊取資料的技術通常包括在其命令和控制通道或備用通道上傳輸資料,以及在傳輸中設定大小限制。
攻擊者透過將資料(包括雲環境的備份)轉移到他們在同一服務上控制的另一個雲賬戶中來竊取資料,從而避免典型的檔案下載或傳輸和基於網路的滲透檢測。
透過命令和控制通道監視向雲環境外部大規模傳輸的防禦者,可能不會監視向同一個雲服務商內部的另一個賬戶的資料傳輸。
這樣的傳輸可以利用現有云服務商的API和內部地址空間混合到正常流量中,或者避免透過外部網路介面進行資料傳輸。在一些事件中,攻擊者建立了雲實例的備份並將其轉移到單獨的賬戶中。
12. 干擾
攻擊者試圖操縱、中斷或破壞系統和資料。
干擾包括攻擊者用來透過操縱業務和運營流程破壞系統和資料的可用性或完整性的技術,包括破壞或篡改資料。
在某些情況下,有時候業務流程看起來還不錯,但可能已進行了更改,以使攻擊者的目標受益。攻擊者可能會使用這些技術實現其最終目標,或為違反保密性提供掩護。
常見的攻擊戰術包括DDoS(Distributed Denial-of-Service,抗拒絕服務攻擊)和資源劫持。
攻擊者可以對來自AWS區域中EC2例項的多個目標(AWS或非AWS)執行DDoS,也可能會利用增補系統的資源,解決影響系統或託管服務可用性的資源密集型問題。
資源劫持的一個常見目的是
驗證加密貨幣網路的交易並獲得虛擬貨幣。攻擊者可能會消耗足夠的系統資源,從而對受影響的計算機造成負面影響或使它們失去響應。伺服器和基於雲的系統經常是他們的目標,因為可用資源的潛力很大,但是有時使用者終端系統也可能會受到危害,並用於資源劫持和加密貨幣挖掘。
▼
本文節選自《雲計算安全實踐——從入門到精通》一書,想了解更多雲計算安全的內容,歡迎閱讀此書!
▊《
雲計算安全實踐——從入門到精通
》
王紹斌 等 著
雲安全實踐力作
亞馬遜安全專家傾力撰寫
本書將雲計算安全能力建設對應到NIST CSF中,從雲計算安全能力建設的角度由淺入深地總結雲計算安全產業實踐的基本常識、雲安全能力構建的基礎實驗與雲計算產業安全綜合實踐。
在簡單介紹基本原理的基礎上,以雲計算應用安全能力建設為主,重點介紹在雲安全能力建設中的典型案例與實驗。其中實驗部分又分為基礎篇、提高篇和綜合篇,透過動手實驗可以讓你快速學習基本的安全策略、安全功能、安全服務及最佳實踐,深度體驗雲上安全能力的建設設計與實現,最終完成自定義安全整合和綜合安全架構的設計與實現。
(京東滿100減50,快快掃碼搶購吧!)