事件背景
近日,Datadog安全实验室披露一起通过泄露的AWS长期访问密钥(AKIA*)发起的云上高级持续攻击。攻击者在150分钟内使用5个不同IP地址实施攻击,其技术手段包含多项首次公开的云环境攻击手法,值得云安全从业者高度警惕。
常规攻击者战术
我们观察到攻击者在云入侵中常用的几种策略。为了完整起见,我们在下面列出了它们,但不会对其进行进一步的详细分析:
- 通过 API 调用(例如GetAccount、 ListIdentities和GetSendQuota)进行SES 枚举。
- 尝试创建一个名为 的 EC2 安全组,描述
Administratorsz为We Are There But Not Visible,该组已归属于 JavaGhost 组。 - 创建多个 IAM 用户,随后通过 直接
AttachUserPolicy或间接授予管理权限AttachGroupPolicy。攻击者有时会尝试在 IAM 用户上创建登录配置文件,以便于使用 AWS 控制台。 - 从长期访问密钥生成临时 STS 凭证,这使得攻击者甚至可以使用长期凭证对 AWS 控制台进行身份验证。
新攻击技术剖析
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...