AWS介紹

AWS（Amazon Web Services） 是 Amazon 提供的云計算平臺，提供了廣泛的云服務，包括計算、存儲、數據庫、網絡、安全、人工智能、大數據處理等功能，幫助企業和開發者構建、部署和管理應用程序。AWS 是全球最大的云服務提供商之一，廣泛應用于各個行業，具有高擴展性、可靠性和安全性。

AWS風險

攻防視角下AWS，紅隊鐘愛的“云控中心”，是快速獲取數據、權限的理想跳板。

攻擊路線（按照1，2，3的流程來進行攻擊）

1、控制云上應用2、應用內配置文件獲取AK/SK3、利用AK/SK接管目標AWS平臺4、創建新的管理員用戶5、使用SSM接管EC2實例6、從EC2中提取憑證信息7、控制EC2中運行的敏感系統

AWS風險案例

數據泄露仍是AWS安全的主題曲

數據泄露案例

1、Pegasus：存儲桶配置不當泄漏6.5T數據2、Capital One ：SSRF漏洞獲取EC2元數據至1億數據泄漏3、Verizon： S3存儲桶配置公共訪問導致600萬數據泄露

AWS攻擊面
1、身份與訪問管理（IAM）

2、對象存儲（S3）

3、云服務器（EC2）

4、云數據庫（RDS/DynamoDB）

5、容器服務（ECS/EKS）

6、……

AWS攻擊場景

1、身份與訪問管理（IAM）
簡介：IAM負責用戶、角色和訪問權限的管理。攻擊者通常通過泄露的AK/SK，過度授予的權限來利用這些賬戶，獲得訪問權，并進一步濫用權限執行高風險操作。

AK/SK泄露
過度授予的IAM權限
未設置多因素認證（MFA）
角色假冒與跨賬戶權限濫用
過度開放的IAM角色和權限組合
IAM用戶擁有多個訪問密鑰
……

2、對象存儲（S3）
簡介：S3是用于存儲和訪問數據的服務，許多應用依賴它來存放文件。攻擊者可以通過公開的存儲桶或錯誤的權限設置，進行任意文件上傳、下載或覆蓋，甚至接管整個存儲桶。

Bucket名稱爆破與枚舉
任意文件上傳與覆蓋
存儲桶公共訪問權限
S3 Bucket接管（CNAME綁定失效）
AK/SK泄露后的存儲桶數據訪問
Bucket Object遍歷
Bucket策略配置可寫
S3存儲桶未啟用加密
……

3、云服務器（EC2）
簡介：EC2提供可擴展的虛擬服務器來托管各種應用。攻擊者可以通過利用未修補的漏洞，訪問元數據服務獲取憑證，或通過弱口令、公開端口進入服務器。

SSRF漏洞利用元數據服務
公開的SSH/RDP端口暴露
鏡像投毒
弱口令/未授權訪問EC2實例
EBS卷訪問控制不嚴格
EC2實例未配置IAM角色
未啟用日志記錄與監控
元數據服務濫用獲取臨時憑證
EC2實例上的命令執行漏洞
利用臨時存儲獲取敏感信息
……

4、云數據庫（RDS/DynamoDB）
簡介：RDS和DynamoDB用于存儲業務數據，常作為核心數據庫系統。攻擊者可以通過泄露的AK/SK或弱口令訪問這些數據庫，進行數據提取、篡改或控制數據庫實例。

AK/SK泄露后的數據庫訪問
RDS弱口令/未授權訪問
公網訪問的RDS實例
RDS數據庫未加密
數據庫憑證配置文件泄露
API濫用修改RDS配置或創建用戶
RDS實例未啟用刪除保護
……

5、容器服務（ECS/EKS）
簡介：ECS和EKS幫助用戶管理和部署容器化應用。容器服務的核心挑戰是隔離性，攻擊者通過容器逃逸、惡意鏡像、或不當的權限配置，突破隔離邊界，獲取主機或集群的控制權，甚至在整個容器集群內橫向擴展其攻擊。

容器逃逸
EKS集群VPC終端節點暴露
容器鏡像投毒
EKS默認VPC使用
容器進程共享和橫向移動
不當的容器鏡像權限
ECS服務允許外部訪問
Kubernetes API濫用進行權限提升
……

AWS實時檢測/主動檢測

實時監測
告警事件：

CloudTrail 日志記錄已禁用
S3存儲桶通過ACL公開
Route 53 域已轉移到另一個帳戶
亞馬遜機器映像修改為公開共享
工具使用：終局之戰
……
行為事件：
為 root 用戶創建新的訪問密鑰
恢復并重置root用戶密碼
根用戶 MFA 已刪除
通過 CLI 創建訪問密鑰
用戶手動刪除RDS數據庫
……

主動監測
基線掃描：
EKS 集群 VPC 終端節點公開訪問
未啟用 CloudTrail 日志記錄
IAM 用戶未配置多因素認證 (MFA)
IAM 策略允許附加完全管理權限 (*)
啟用虛擬 MFA 的 IAM 根賬戶
……

應對的安全需求場景
云平臺風險識別
云資產風險配置識別
云賬戶權限最小化
惡意工具利用分析
異常行為監控
異常賬戶分析
云合規性要求