9 成黑客承认滥用云服务

尽管云提供商尝试限制,信息安全人员和黑客还是经常滥用云服务执行侦察和攻击。

最近,得克萨斯理工大学的五位科学家发表了一篇研究论文,题为《云即攻击平台》,描述了他们与黑帽大会和 DEF CON 安全大会参会计算机安全专家的一系列访谈。

作为攻击心理学研究的一部分,他们采访了 75 位安全专业人士和黑客,其中 93% 以上承认滥用云服务创建攻击环境并发起攻击。

论文解释道:“据我们观察,这些专业黑客常采用通用策略滥用云平台,利用云平台资源利用率高的特性,在探测目标计算机、收集受害者数据、发现漏洞和发起攻击的过程中,保持低调隐秘。”

在给媒体的回应中,论文通讯作者,博士生 Chatterjee 称:“在调查中我们没有收集任何人口统计数据,所以无法分辨访谈对象到底是道德黑客/渗透测试员,还是恶意黑客。而且,DEF CON 这样的大会上,与会者没有姓名牌,我们所有人的标签都是‘人’。”

Chatterjee 表示,招募参与者回答问题很难,因为他们都很怕遇到的是社会工程攻击。她说:“在递给他们笔,让他们在调查图表上写下自己的想法时,其中一些受访者甚至以为我们是在盗取生物特征识别数据。”

调查表明,使用云服务进行攻击的人有共同的行为模式。他们会设置虚拟专用服务器 (VPS) 或多跳虚拟专用网 (VPN),通过这些安全信道与虚拟机 (VM) 保持安全通信,并在虚拟机上加载 NMap、Metasploit 和 Wireshark 等网络安全工具,用于开展攻击行动。

基础设施即服务提供商试图通过虚拟机网络配额,或者 AWS GuardDuty 和 Amazon Inspector 等账户保护工具,来避免自身服务被滥用,但信息安全专业人士可以绕开这些平台限制。

受访者大多提到了 AWS,但 Google Cloud Platform (GCP) 被滥用的情况也不少。这些公司知道会发生滥用行为,但并没有为阻止滥用行为而充分监控基本账户。

媒体为此咨询了 AWS 和 Google。Google 发言人搬出了自家的 GCP 可接受使用策略。AWS 虽未回应,但也有类似的策略。

隐秘攻击

在系列论文《用云发起隐秘攻击》中,科学家描述了几种常见的攻击场景。

比如使用云平台执行网络钓鱼、DDoS、密码破解、流氓服务,以及运行命令与控制 (C2) 服务器等其他操作。论文还涵盖了使用 Oracle VirtualBox 和 Kali Linux 设置示例攻击服务器。

两篇论文都计划在 7 月的 IEEE 计算机协会计算机、软件和应用签名会议 (COMPSAC 2020) 上发表。

针对云提供商怎样有效应对云服务滥用的问题,研究人员给出了几条建议。其中一条就是通过背景核查加强客户身份验证。研究人员表示,贩卖虚假信用卡号的网站为匿名创建云账户提供了便利。

另外,优化网络使用跟踪和智能化虚拟机监测,可以更好地检测可疑账户。研究人员称,云提供商可以强制使用防火墙,鼓励更新虚拟机上的软件堵上漏洞,还可以创建可信软件存储库限制在平台上使用攻击工具。

但是,此类措施会增加云提供商的成本,且如果监督过于严格,也可能会让顾客望而却步。

这两篇论文的共同作者,得克萨斯理工大学计算机科学副教授 Akbar Siami-Namin 向媒体透露,云提供商面临技术和商业两方面的挑战。

他说:“安全,尤其是往基础设施中添加安全控制,意味着额外的支出。还会对底层系统的‘可用性’产生负面影响。由于云平台是分布式环境,我们很难确立坚固的堡垒来防止对手滥用。”

至于顾客招揽过程中新增的商业挑战,他表示:“如果云平台要求太多个人信息,比如信用卡、姓名、地址等等,那大家就不太愿意尝试云上的服务了。因此,云提供商会‘免费’提供一些基本算力,希望能将潜在客户(个人)转化为自家云平台的常客(一项长期投资)。”

但滥用云系统的人也会利用云提供商的这点好意。

云提供商已经意识到了这一问题。只是,从技术角度而言,系统很难做到刀枪不入,防不住攻击和滥用。正如论文中指出的,要识别这些滥用行为,云提供商可能需要人工智能和自动化检测加持,更加成熟,更具弹性和监测能力的跟踪系统。

《云即攻击平台》(Cloud as an Attack Platform):

https://arxiv.org/pdf/2006.07914.pdf

《用云发起隐秘攻击》(Launching Stealth Attacks using Cloud):

https://arxiv.org/pdf/2006.07908.pdf

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。