Hành vi xâm phạm tài khoản AWS: Nhật ký CloudTrail về các khóa API bị đánh cắp

Tác giả ChatGPT, T.Tám 21, 2024, 07:26:47 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Khi cơ sở hạ tầng đám mây trở thành xương sống của các doanh nghiệp hiện đại, việc đảm bảo an ninh cho các môi trường này là điều tối quan trọng. Với AWS (Amazon Web Services) vẫn là đám mây thống trị, điều quan trọng là bất kỳ chuyên gia bảo mật nào cũng phải biết nơi để tìm các dấu hiệu xâm phạm.

AWS CloudTrail nổi bật là một công cụ thiết yếu để theo dõi và ghi nhật ký hoạt động API, cung cấp bản ghi toàn diện về các hành động được thực hiện trong tài khoản AWS. Hãy coi AWS CloudTrail giống như nhật ký sự kiện hoặc kiểm tra cho tất cả các lệnh gọi API được thực hiện trong tài khoản AWS của bạn.


Đối với các chuyên gia bảo mật, việc giám sát các nhật ký này là rất quan trọng, đặc biệt khi phát hiện truy cập trái phép tiềm ẩn, chẳng hạn như thông qua các khóa API bị đánh cắp. Những kỹ thuật này và nhiều kỹ thuật khác mà tôi đã học được qua các sự cố mà tôi đã làm việc trong AWS và chúng tôi đã tích hợp vào SANS FOR509, Điều tra đám mây doanh nghiệp.

1. Các cuộc gọi API bất thường và các mẫu truy cập

1.1. đột ngột tăng đột biến trong các yêu cầu API

Một trong những dấu hiệu đầu tiên về khả năng vi phạm bảo mật là sự gia tăng bất ngờ về yêu cầu API. CloudTrail ghi lại mọi lệnh gọi API được thực hiện trong tài khoản AWS của bạn, bao gồm cả người thực hiện lệnh gọi, thời điểm thực hiện và từ đâu. Kẻ tấn công có khóa API bị đánh cắp có thể bắt đầu một số lượng lớn yêu cầu trong khung thời gian ngắn, thăm dò tài khoản để lấy thông tin hoặc cố gắng khai thác một số dịch vụ nhất định.

Những gì cần tìm:

  • Hoạt động API tăng đột ngột, không bình thường.
  • Lệnh gọi API từ các địa chỉ IP bất thường, đặc biệt là từ các khu vực nơi người dùng hợp pháp không hoạt động.
  • Các nỗ lực truy cập vào nhiều loại dịch vụ khác nhau, đặc biệt nếu chúng thường không được tổ chức của bạn sử dụng.

Lưu ý rằng Nhiệm vụ bảo vệ (nếu được bật) sẽ tự động gắn cờ các loại sự kiện này, nhưng bạn phải theo dõi để tìm thấy chúng.

1.2. Sử dụng trái phép tài khoản root

AWS đặc biệt khuyến nghị tránh sử dụng tài khoản root cho các hoạt động hàng ngày do tài khoản này có mức đặc quyền cao. Bất kỳ quyền truy cập nào vào tài khoản root, đặc biệt nếu các khóa API được liên kết với tài khoản đó đang được sử dụng, đều là một dấu hiệu đáng báo động.

Những gì cần tìm:

  • Lệnh gọi API được thực hiện bằng thông tin xác thực tài khoản gốc, đặc biệt nếu tài khoản root thường không được sử dụng.
  • Thay đổi cài đặt cấp tài khoản, chẳng hạn như sửa đổi thông tin thanh toán hoặc cấu hình tài khoản.

2. Hoạt động iam dị thường

2.1. Tạo ra các khóa truy cập đáng ngờ

Những kẻ tấn công có thể tạo khóa truy cập mới để thiết lập quyền truy cập liên tục vào tài khoản bị xâm nhập. Việc giám sát nhật ký CloudTrail để tạo khóa truy cập mới là rất quan trọng, đặc biệt nếu các khóa này được tạo cho những tài khoản thường không yêu cầu chúng.

Những gì cần tìm:

  • Tạo khóa truy cập mới cho người dùng IAM, đặc biệt là những người trước đây chưa cần đến chúng.
  • Sử dụng ngay các khóa truy cập mới được tạo, điều này có thể cho thấy kẻ tấn công đang thử nghiệm hoặc sử dụng các khóa này.
  • Lệnh gọi API liên quan đến `CreateAccessKey`, `ListAccessKeys` và `UpdateAccessKey`.

2.2. Các mô hình giả định vai trò

AWS cho phép người dùng đảm nhận các vai trò, cấp cho họ thông tin xác thực tạm thời cho các tác vụ cụ thể. Giám sát các mô hình giả định vai trò bất thường là rất quan trọng, vì một kẻ tấn công có thể đảm nhận vai trò để xoay vòng trong môi trường.

Những gì cần tìm:

  • Các cuộc gọi API api khác thường hoặc thường xuyên, đặc biệt là các vai trò với các đặc quyền cao.
  • Giả định vai trò từ địa chỉ IP hoặc khu vực thường không được liên kết với người dùng hợp pháp của bạn.
  • Các giả định về vai trò được theo sau bởi các hành động không phù hợp với hoạt động kinh doanh thông thường.

3. Truy cập và di chuyển dữ liệu bất thường

3.1. Truy cập nhóm S3 bất thường

Amazon S3 thường là mục tiêu của những kẻ tấn công vì nó có thể lưu trữ lượng lớn dữ liệu nhạy cảm. Việc giám sát CloudTrail để phát hiện hoạt động truy cập bất thường vào nhóm S3 là điều cần thiết trong việc phát hiện các khóa API bị xâm phạm.

Những gì cần tìm:

  • Lệnh gọi API liên quan đến `ListBuckets`, `GetObject` hoặc `PutObject` cho các nhóm thường không thấy hoạt động như vậy.
  • Tải xuống hoặc tải lên dữ liệu quy mô lớn đến và từ bộ chứa S3, đặc biệt nếu diễn ra ngoài giờ làm việc bình thường.
  • Truy cập các nỗ lực để các nhóm lưu trữ dữ liệu nhạy cảm, chẳng hạn như sao lưu hoặc tệp bí mật.

3.2. Nỗ lực lọc dữ liệu

Kẻ tấn công có thể cố gắng di chuyển dữ liệu ra khỏi môi trường AWS của bạn. Nhật ký CloudTrail có thể giúp phát hiện các nỗ lực lọc như vậy, đặc biệt nếu kiểu truyền dữ liệu không bình thường.

Những gì cần tìm:

  • Truyền dữ liệu lớn từ các dịch vụ như S3, RDS (Dịch vụ cơ sở dữ liệu quan hệ) hoặc DynamoDB, đặc biệt là tới các địa chỉ IP bên ngoài hoặc không xác định.
  • Lệnh gọi API liên quan đến các dịch vụ như AWS DataSync hoặc S3 Transfer Acceleration thường không được sử dụng trong môi trường của bạn.
  • Cố gắng tạo hoặc sửa đổi cấu hình sao chép dữ liệu, chẳng hạn như các cấu hình liên quan đến sao chép xuyên vùng của S3.

4. Sửa đổi nhóm bảo mật không mong muốn

Các nhóm bảo mật kiểm soát lưu lượng truy cập vào và ra tới tài nguyên AWS. Kẻ tấn công có thể sửa đổi các cài đặt này để mở ra các vectơ tấn công bổ sung, chẳng hạn như cho phép truy cập SSH từ các địa chỉ IP bên ngoài.

Những gì cần tìm:

  • Thay đổi quy tắc nhóm bảo mật cho phép lưu lượng truy cập vào từ các địa chỉ IP bên ngoài mạng đáng tin cậy của bạn.
  • Các lệnh gọi API liên quan đến `AuthorizeSecurityGroupIngress` hoặc `RevokeSecurityGroupEgress` không phù hợp với các hoạt động thông thường.
  • Tạo các nhóm bảo mật mới với các quy tắc quá dễ dãi, chẳng hạn như cho phép tất cả lưu lượng truy cập vào trên các cổng chung.

5. Các bước giảm thiểu rủi ro khóa API bị đánh cắp

5.1. Thực thi nguyên tắc đặc quyền tối thiểu

Để giảm thiểu thiệt hại mà kẻ tấn công có thể gây ra với các khóa API bị đánh cắp, hãy thực thi nguyên tắc đặc quyền ít nhất trên tài khoản AWS của bạn. Đảm bảo rằng người dùng IAM và vai trò chỉ có quyền cần thiết để thực hiện các nhiệm vụ của họ.

5.2. Triển khai xác thực đa yếu tố (MFA)

Yêu cầu MFA đối với tất cả người dùng IAM, đặc biệt là những người có đặc quyền quản trị. Điều này bổ sung thêm một lớp bảo mật, khiến kẻ tấn công khó truy cập hơn, ngay cả khi chúng đã đánh cắp khóa API.

5.3. Thường xuyên xoay và khóa truy cập kiểm toán

Thường xuyên luân chuyển các khóa truy cập và đảm bảo rằng chúng được gắn với những người dùng IAM thực sự cần chúng. Ngoài ra, hãy kiểm tra việc sử dụng khóa truy cập để đảm bảo chúng không bị lạm dụng hoặc sử dụng ở những vị trí không mong muốn.

5.4. Bật và giám sát CloudTrail và GuardDuty

Đảm bảo rằng CloudTrail được bật ở tất cả các vùng và nhật ký được tập trung để phân tích. Ngoài ra, AWS GuardDuty có thể cung cấp khả năng giám sát theo thời gian thực đối với hoạt động độc hại, cung cấp một lớp bảo vệ khác chống lại thông tin xác thực bị xâm phạm. Hãy cân nhắc việc AWS Detective có một số thông tin được xây dựng dựa trên các phát hiện.

5.5. Sử dụng cấu hình AWS để giám sát tuân thủ

AWS Config có thể được sử dụng để giám sát việc tuân thủ các phương pháp bảo mật tốt nhất, bao gồm cả việc sử dụng hợp lý các chính sách IAM và nhóm bảo mật. Công cụ này có thể giúp xác định các cấu hình sai có thể khiến tài khoản của bạn dễ bị tấn công.

Tính bảo mật của môi trường AWS của bạn phụ thuộc vào việc giám sát thận trọng và phát hiện nhanh các điểm bất thường trong nhật ký CloudTrail. Bằng cách hiểu các mô hình sử dụng hợp pháp điển hình và cảnh giác với những sai lệch so với các mô hình này, các chuyên gia bảo mật có thể phát hiện và ứng phó với các xâm phạm tiềm ẩn, chẳng hạn như các xâm phạm liên quan đến khóa API bị đánh cắp, trước khi chúng gây ra thiệt hại đáng kể. Khi môi trường đám mây tiếp tục phát triển, việc duy trì lập trường chủ động về bảo mật là điều cần thiết để bảo vệ dữ liệu nhạy cảm và đảm bảo tính toàn vẹn của cơ sở hạ tầng AWS của bạn. Nếu bạn muốn tìm hiểu thêm về những gì cần tìm kiếm trong AWS để phát hiện các dấu hiệu xâm nhập, cùng với các đám mây của Microsoft và Google, bạn có thể xem xét lớp FOR509 của tôi đang chạy tại Sáng kiến phòng thủ mạng SANS 2024. Truy cập   Đăng nhập để xem liên kết để tìm hiểu thêm.