在涵盖云中横向移动的系列博文的第一篇中,我们将介绍虚拟私有云 (VPC)的横向移动。我们将讨论黑客的策略、技术和程序 (TTP),并概述安全从业者和云构建者的最佳实践,以帮助保护他们的云环境并降低 VPC 中和 VPC 间横向移动的风险。这一点尤其重要,因为 58% 的云环境至少有一个公开暴露的节点,其中存储了明文长期云密钥。
黑客为了在环境中移动并实现其目的(例如泄露敏感数据、征用节点)往往使用横向移动来扩展网络访问权限。
多年来,横向移动一直用于基于网络协议和服务(例如 Active Directory、SMB 和 NTLM)的本地网络。从通过网络共享传播的Stuxnet蠕虫,到执行传递哈希和票证的 APT1 和 APT29 等高级威胁组织,横向移动已涉及许多重大攻击。
在云环境中,当黑客获得初始访问权限并入侵节点时,他们可以滥用 IAM 权限或使用众所周知的本地横向移动技术在 虚拟私有云 (VPC) 中从一个节点“跳转”到另一个节点。他们的目标是获得非常有价值的资产,这些资产可以在同一 VPC 内部或外部提供额外的横向移动和对其他云资源和身份(例如,敏感数据或管理员身份)的访问。
在深入探讨云网络层中的不同横向移动技术之前,让我们首先回顾一下本地环境和云环境之间的一些重要区别:
尽管许多横向移动技术都适用于本地和云网络,但 IAM 是云中的一个重要区别:IAM 管理访问控制并授予身份对特定资源执行某些操作的权限。入侵了这些身份的黑客可能能够冒充它,执行操作(取决于其有效权限)并通过云提供商 API 命令横向移动到帐户中的其它云资源。
与需要广泛的网络知识并需要硬件指定配置和缓慢的采购流程的内部部署不同,在云中部署和配置 VPC 和网络资源(例如互联网网关、节点均衡器、ACL)非常简单明了。然而,这样的执行速度增加了可利用的网络错误配置和资源入侵的风险。
云的复杂架构使得跟踪和保护数以千计的资源变得具有挑战性,更不用说映射它们之间的连接、衡量有效权限以及分析和优先考虑对组织的关键威胁了。为了解决这个问题,所有主要的 CSP 都支持专用 API,这些 API 提供对部署在云环境中的资源的可见性。尽管对云管理员很有用,但此类功能可能会被黑客滥用,确定在被入侵的特权帐户中运行的资源类型。
黑客利用多种技术和功能进行在云中横向移动攻击。其中包括远程服务、蠕虫、有效帐户、VPC 对等互连、IaaS/PaaS 数据库、漏洞和错误配置。
黑客在VPC 中可以使用被入侵虚拟机中存储的明文私钥或凭据横向移动到接受SSH 和 RDP 等远程连接的机器。一旦进入 VPC, 它们还可以扫描可利用的易受攻击的远程服务。
黑客经常使用蠕虫来感染节点,然后扫描 VPC 中具有可利用漏洞和安全配置错误的其他节点。例如,具有不受限制的安全组规则和弱身份验证方法的 Linux 机器很容易成为目标,因为蠕虫可以扫描它并通过暴力破解本地用户的密码。DreamBus僵尸网络就是一个很好的例子。
黑客可以滥用现有账户的明文云密钥,并在具有正确权限的情况下,冒充 IAM 身份透过 IAM 层危害其他云资源。这可以通过云提供商 API 命令在原先 VPC之外发生, 例如 S3 存储桶。管理员身份遭到入侵——或者可以升级到此类特权的身份——可能会导致完全接管帐户。
与站点到站点 VPN 一样,VPC 对等互连支持两个隔离环境之间的通信。它得到所有主要 CSP(AWS、Azure、GCP)的支持。如果黑客进入与另一个授予其不受限制的网络访问权限的对等 VPC,则黑客可以“逃离”第一个网络,横向移动到第二个网络中的其他节点,并可能危及租户之间的资源。
不管它们是否公开, 驻留在被入侵 VPC 中的明文私钥和凭证可以授予黑客访问 IaaS 或 PaaS 数据库(例如 RDS 实例)的权限。这些类型的数据库可能包含高度敏感的数据,例如凭证或客户 PII。
在寻找对横向移动至关重要的有价值资产时,黑客通常会寻找位于被入侵 VPC 中容易得手的目标。理想的目标是具有漏洞和安全配置错误的可利用节点,例如网络可访问的、具有严重 RCE 漏洞且没有严格的安全组规则的内部虚拟机。
Wiz机构 调查了众多云环境,都拥有至少一个横向移动路径,该路径涉及 VPC 内公开暴露的节点,该 VPC 具有明文 SSH 私钥或明文长期云密钥(例如 AWS 访问密钥)。
我们的研究结果表明,大约 58% 的云环境至少有一个公开暴露的节点,其中存储了明文长期云密钥,而大约 35% 的云环境至少有一个公开暴露的节点,其中存储有明文
SSH私钥。
在任何一种情况下,这种漏洞都会使黑客能够在有问题的环境中提升他们的特权或连接到 VPC 中的其他节点。
可以看出,这些数字反映出许多组织的云环境中缺乏针对横向移动攻击的充分防御。
以下5 个关键网络最佳实践, 任何组织都应在其云环境中实施以降低横向移动攻击风险:
ACL)安全组充当进出 VPC 内 VM 实例的入站/出站流量的防火墙,而 ACL 充当子网级别的防火墙。所有安全组和 ACL 的最佳策略是对所有规则应用“最小特权”原则:通过限制对特定 IP 地址的访问可以减少被入侵时的攻击面。例如,严格配置的安全组可以通过阻止网络连接来防止黑客横向移动到在特定端口上具有 RCE 漏洞的非对外 VM。
明文长期云密钥不应存储在您的云节点中。泄露的密钥使黑客能够“逃离”网络层并在云服务和资源之间横向移动,从而保持持久性。相反,请确保只有具有最低权限的角色才附加到 EC2 实例(Azure 中的严格 RBAC 角色)。这些角色会自动生成临时凭证,从而消除密钥暴露和持久性的风险。
至于 SSH 私钥,组织可以采用更安全的方法对内部机器进行远程身份验证。例如,他们可以使用堡垒主机来防止端口暴露,或利用基于 IAM 权限的专用云提供商服务,如 AWS 的SSM API或 GCP 的身份感知代理(IAP)。对于 Linux 机器,这些专用服务比密码身份验证更安全。
一旦黑客成功入侵 VPC 中的节点,他们将开始扫描其中存在可利用关键漏洞的其他节点。因此,VPC 中任何节点(无论是暴露在互联网上还是未暴露在互联网上)的任何严重漏洞都应立即得到修复。
根据功能(例如生产)或组(例如财务)将环境拆分为不同的 VPC 可以增强您的安全态势。通过增强对资源的可见性并在发生安全漏洞时最小化扩散半径, 来减少攻击面并降低横向移动风险。
与跨两个不同 VPC 提供广泛双向访问的 VPC 对等互连相反,私有链接是一种更受限制的单向机制。专用链接允许资源向任何选定的订阅公开端点服务,以便直接连接 VPC。它由所有主要 CSP提供(AWS PrivateLink、GCP Private Service Connect、Azure Private Link )。