《黑云压城-云端服务滥用攻击剖析》-2021首届西部云安全峰会-高东.pdfVIP

黑云压城-云端服务滥用攻击剖析

绿盟科技·高东

AboutMe

高东

绿盟科技天元实验室主管研究员，M01N战队负责人，技术经理

专注于高级威胁模拟与对抗，蓝军实战化攻击与对抗技术研究

技术发展攻击形态攻击特征

⚫新领域技术

⚫新的业务形态⚫攻击技术：达成阶段性战术目的所使用的攻击性技术“滥用”

⚫新的安全机制⚫对抗技术：保证攻击能正常实施而采用的对抗性技术

⚫新的安全产品

“黑云压城城欲摧”

滥用

云服务能力云打击能力

武器化

⚫云原生能力⚫域前置

⚫公有云管理⚫Socks/ToH代理

⚫基础设施即服务（IaaS）⚫C2服务器

⚫容器即服务（CaaS）⚫钓鱼网站

⚫函数即服务（FaaS）⚫栽荷投递

⚫云应用服务⚫数据回传

⚫……⚫……

拨号VPS搭建动态代理池

背景

⚫防守队封IP，IP资源紧缺

⚫使用自己热点IP容易被防守方定位

⚫手动切换代理IP繁索，效率低

⚫部分工具不支持攻击过程中切换IP

特点

⚫统一入口，多个出口地区（山东、湖北、浙江…）

⚫IP资源丰富，10个A段公网IP资源，每分钟节点更换IP

⚫系统可扩展强，扩容操作一条命令完成

⚫系统可靠稳定

滥用公有云CloudShell

⚫云命令行（CloudShell）是一种通过浏览器

访问的用于管理云上资源的交互式shell

⚫在云命令行启动时会创建一台Linux虚拟机，

免费独享使用。当会话处于活跃状态时，实

例长期有效

⚫网络出口多，可被滥用于扫描、探测、代理

等多种攻击

滥用对象存储及API进行C2控制

⚫AWSAPI使用Boto库在python中可轻松简洁地实现。

⚫域名可信度高，通信隐蔽性强

⚫如果开发人员和DevOps团队都使用AWS自动化基础设施和备份，

来自AWSS3的流量将融入常规工作流

⚫使用AWSS3对象作唯一标识代理并传输任意长度和内容的数据

⚫采用轮询、推送和拉取的方式，效率较低，能处理的控制指令有限

/RhinoSecurityLabs/external_c2_framework

CloudFunctions滥用

公有云FaaS

购买成本低HTTP

⚫一定规模内相较于云服务器费用更低，且各大云厂商提供免费的Serverless套餐

⚫按需使用，按量付费，降低攻击者成本API网关云函数多出口IP

部署成本低

⚫用户只需实现函数的核心逻辑，而无须关心函数的部署及执行滥用FaaS作为代理或C2前置转发器

⚫高效实现单一场景的攻击利用，编写简单并能省去部署的成本

部署灵活

⚫Serverless工作流（ServerlessWorkflow）可