短期AWS存取權杖 攻擊者設計巧妙陷阱
編譯/Cynthia
當今,隨著企業逐漸轉向雲端,雲端安全問題也成為焦點。攻擊者精心策劃,透過狡詐手段之一,短期AWS存取權杖,成功深入組織系統,並以高度隱匿的方式進行攻擊。
攻擊者的秘密武器
攻擊者通常透過釣魚、惡意軟體,或在公開儲存庫中找到的受損使用者存取權杖,取得對組織雲端資產的存取權。這些權杖常為長期權杖,關聯於AWS IAM或透過第三方身份平台進行身份驗證的聯合使用者。這些權杖授予使用者特定角色和權限,成為攻擊的起點。
更多新聞:駭客僅5分鐘竊取AWS憑證 EleKtra-Leak行動曝光
巧妙運用短期存取權杖
攻擊者新的戰術是濫用AWS的安全權杖服務(Security Token Service,STS),製造短期存取權杖。這些短期權杖由AWS的STS根據需求生成,有效期最長36小時。攻擊者透過這種方式,即使長期存取權杖被撤銷,仍能保持對雲端資產的存取權。更狡猾的是,攻擊者透過濫用短期權杖成功地隱藏了長期存取權杖,使得組織難以辨識並追蹤攻擊者的活動。這樣的手法將組織推向一個難以解決的「刪除短期權杖」的循環。
強化防禦,確保雲端資產的安全
在應對這類攻擊手法時,防禦者必須提高對AWS的安全警覺。透過AWS CloudTrail服務,防禦者全面記錄所有與AWS帳戶相關的事件數據,同時建立警報系統以檢測角色鏈接事件和MFA濫用。建立查詢以識別通過令牌或MFA設備連接的憑證,以及建立完善的帳戶檢查流程,對未經授權的AWS登錄迅速應對,成為防禦的關鍵。
積極回應,確保安全
一旦發現未經授權的AWS登錄或數據外洩,清理行動必須迅速有力。撤銷攻擊中使用的臨時憑證權限,輪換所有長期存取權杖,並為涉及可疑活動的用戶設立「拒絕所有」策略。刪除攻擊者創建的任何資源,迭代CloudTrail日誌數據以識別影響生產資產的活動短期權杖。這樣的積極回應將有助於組織擺脫攻擊者的影響,確保雲端資產的安全。在當前複雜的威脅環境中,這樣的強化防禦措施至關重要,確保數位資產的長期安全。
資料來源:Help Net Security
瀏覽 482 次