Orca Security 最近的一份报告分析了网络犯罪习惯。该报告显示,攻击者通常会在短短两分钟内找到暴露的“秘密”,允许访问企业云环境的敏感信息片段,并且在许多情况下,几乎立即开始利用它们。
该研究于 2023 年 1 月至 2023 年 5 月进行,首先是在九种不同的云环境中创建“蜜罐”,模拟云中配置错误的资源以吸引攻击者。每个都包含一个秘密的 Amazon Web Service ( AWS ) 密钥。
报告的主要发现包括:
几分钟内就会发现配置错误和易受攻击的资产。GitHub、HTTP 和 SSH 上暴露的秘密全部在五分钟内被发现。不到一小时就发现了 AWS S3 Buckets。
资源越受欢迎,越容易访问,越有可能包含敏感信息,攻击者就越倾向于进行侦察。
尽管在所有观察到的暴露的 AWS 密钥使用中有 50% 发生在美国,但几乎所有其他地区也有使用,包括加拿大、亚太地区、欧洲和南美洲。
云安全的状态是一个动态的、不断发展的景观,因为攻击者和防御者都在不断地调整他们的策略和措施。随着越来越多的敏感信息和关键系统驻留在云中,组织必须实施强大的安全措施来保护其云资产。然而,要以有效的方式做到这一点,必须了解攻击者正在寻找什么以及他们如何操作。
为此,Orca Security 发布了2023 年云中的蜜罐报告,该报告提供了有关吸引潜在攻击者的因素以及他们使用的策略和技术的重要见解。
对于研究项目,我们在 9 个不同的环境中部署了“蜜罐”,模拟云中配置错误的资源,充当不良行为者的诱饵。
蜜罐被放置在 AWS S3 Buckets、GitHub、DockerHub、Elastic Container Registry、Elasticsearch、HTTP、Elastic Block Storage、Redis 和 SSH 上。
每个蜜罐都包含一个秘密,在本例中是一个 AWS 秘密访问密钥。该报告详细列出了攻击者对我们的每个蜜罐资源采取的行动,并提供了有关如何阻止这些不良行为者以更好地保护您组织的云资产的建议。
主要发现
在较高的层面上,以下是我们研究的五个关键要点:
-
快速发现易受攻击的资产:配置错误和易受攻击的资产实际上在几分钟内就被发现了(GitHub – 2 分钟,HTTP – 3 分钟,SSH – 4 分钟,S3 Buckets – 1 小时)。
-
密钥使用时间因资产类型而异:我们在 2 分钟内在 GitHub 上看到了密钥使用情况,这意味着暴露的密钥基本上会立即被泄露。对于 S3 Buckets 花费了 8 个小时,对于 Elastic Container Registry 花费了 4 个月。
-
并非所有资产都得到平等对待:资源越受欢迎、访问越容易、包含敏感信息的可能性越大,攻击者就越倾向于进行侦察。某些资产(例如 SSH)极易成为恶意软件和加密挖矿的目标。
-
防御者不应依赖自动密钥保护:除了 GitHub 外,暴露的 AWS 密钥权限立即被锁定,我们没有检测到对我们测试的其他资源的任何自动保护。
-
没有哪个区域是安全的:虽然我们看到 50% 的暴露 AWS 密钥使用在美国区域,但几乎所有其他区域也有使用,包括加拿大、亚太地区、欧洲和南美洲。
研究是在 2023 年 1 月到 2023 年 5 月之间进行的。为了设置我们的“蜜罐”并模拟配置错误的资源,我们基本上打破了所有安全最佳实践(不要在家里尝试!):
-
我们在不同的环境中创建了许多存储库,并将它们配置为允许公开访问或轻松访问。
-
接下来,我们在我们的蜜罐中放置了一个秘密——在本例中为 AWS 密钥。
-
然后我们等待攻击者上钩..
我们蜜罐研究的目标是找出以下内容:
-
哪些流行的云服务最常成为攻击者的目标?
-
攻击者访问公共或易于访问的资源需要多长时间?
-
攻击者需要多长时间才能找到并使用泄露的秘密?
-
常见的攻击路线和方法有哪些?
-
我们如何利用这些信息来加强防御?
在某些方面,我们的研究证实了一个广为人知的事实:攻击者不断扫描互联网寻找有利可图的机会。然而,让我们感到惊讶的是,在某些情况下,这种情况发生的速度有多快。根据资源的不同,攻击者有时只需要几个小时甚至几分钟就可以在我们的蜜罐中找到并使用暴露的密钥。
此外,我们发现S3 Buckets存在的服务越多,访问和密钥使用越快。虽然在我们看到访问之前我们不得不在我们的(假)桶中留下额外的面包屑,但我们希望合法的桶有更多的面包屑,例如对桶名称、ID 和链接的引用。因此,意外暴露的合法存储桶可能会被攻击者更快地访问,这意味着预计会在一小时内发现。
为什么有些资源的目标更多?
资源的“吸引力”取决于多种因素的组合:
-
成本/收益比:资源越容易被发现,资源对攻击者的吸引力就越大:
-
例如,在 GitHub 上很容易发现公共存储库和这些存储库中的新提交。
-
如果资产通过 TCP 端口(例如 HTTP、Elasticsearch、Redis、SSH 和 Postgres)暴露在互联网上,则可以通过Shodan等资源高效地找到这些系统。
-
但是,对于 S3 存储桶,无法查询所有存在的 S3 存储桶,也没有未经身份验证的方式来查询特定帐户的所有 S3 存储桶;相反,需要字典攻击方法,循环遍历潜在存储桶名称的空间以找到可公开访问的存储桶名称,这需要更多的努力,即使它也可以以自动化方式完成。
-
-
使用了多少资源:资源的用户越多,找到潜在有用数据的机会就越大。
-
它很容易包含秘密:例如 GitHub 很容易包含秘密,因为它包含项目的所有源代码,有时甚至是整个组织的源代码。其他资源不太容易出现这种情况。
由于每种资源的攻击者策略存在重大差异,因此防御者必须针对每种资源量身定制防御策略。例如,由于 GitHub 受到攻击者的严密监视,秘密被发现的速度如此之快,因此风险证明在提交代码之前确保防止任何秘密泄漏的开销是合理的。另一个例子是需要将 SSH 暴露给 Internet 的系统,其中建议采取额外的缓解措施来检测和防止恶意软件(如加密矿工) 的执行。
该报告包含 8 条关键建议,旨在帮助防御者领先于攻击者,包括有关机密管理、身份验证、恶意进程监控等方面的建议。
本文首发微信公众号网络研究院
下载报告关注回复:20230621