攻防矩阵
在对云服务进行研究的过程中,火线安全将研究的成果进行总结归纳整理,提出了云服务攻防矩阵。
该矩阵从前期侦查、初始访问、执行、权限提升、权限维持、防御绕过、信息收集、横向移动和影响这九个维度展开,分别研究了每个维度下,云服务可能面临的威胁。
通过这套攻防矩阵,红队在面临云环境时也将有章可循,明白自己的下一步该如何去走。
| 前期侦查 | 初始访问 | 执行 | 权限提升 | 权限维持 | 防御绕过 | 信息收集 | 横向移动 | 影响 |
|---|---|---|---|---|---|---|---|---|
| API 密钥泄露 | Bucket 公开访问 | 通过控制台执行 | 利用应用程序提权 | 在存储对象中植入后门 | 关闭安全监控服务 | 用户账号数据泄露 | 窃取云凭证横向移动 | Bucket 接管 |
| 控制台账号密码泄露 | 特定的访问配置策略 | 利用云厂商命令行工具执行 | Bucket 策略可写 | 写入用户数据 | 在监控区域外攻击 | 对象存储敏感数据泄露 | 窃取用户账号攻击其他应用 | 任意文件上传覆盖 |
| 临时访问凭证泄露 | 元数据服务未授权访问 | 使用云API执行 | Object ACL 可写 | 在云函数中添加后门 | 停止日志记录 | 目标源代码信息 | 通过控制台横向移动 | 敏感数据泄露 |
| 访问密码泄露 | 云控制台非法登录 | 写入用户数据执行 | Bucket ACL 可写 | 在自定义镜像库中导入后门镜像 | 日志清理 | 共享快照 | 使用实例账号爆破 | 破坏存储数据 |
| SDK 泄露 | 账号劫持 | 使用对象存储工具执行 | 通过访问管理提权 | 创建访问密钥 | 通过代理访问 | 元数据 | 使用用户账号攻击其他应用 | 植入后门 |
| 前端代码泄露 | 恶意的镜像 | 利用后门文件执行 | 创建高权限角色 | 在 RAM 中创建辅助账号 | 云服务访问密钥 | PostgreSQL 数据库 SSRF | 拒绝服务 | |
| 共享快照 | 网络钓鱼 | 利用应用程序执行 | 利用服务自身漏洞进行提权 | 利用远控软件 | 用户数据 | 子域名接管 | ||
| 应用程序漏洞 | 利用 SSH、RDP 服务登录到实例执行命令 | 低权限下收集到数据库里的高权限访问凭证信息 | 控制台修改或添加数据库账户密码 | 获取配置文件中的应用凭证 | 资源劫持 | |||
| 服务弱口令 | 利用远程命令执行漏洞执行 | 在 RAM 中将低权限用户分配高权限策略 | 命令行修改或添加数据库账户密码 | 获取实例网段信息 | 窃取项目源码 | |||
| 密码访问 | 利用 SDK 执行 | 共享快照 | 数据库连接历史记录 | 窃取用户数据 | ||||
| 密钥访问 | 数据库连接工具 | 数据库其他用户账号密码 | 篡改数据 | |||||
| 数据库中的敏感信息 | 加密勒索 | |||||||
| 警告通知邮箱 | 恶意公开共享 | |||||||
| 性能详情 | 恶意修改安全组 | |||||||
| MSSQL 读取实例文件 | 恶意释放弹性IP | |||||||
| 流日志 | 恶意修改防火墙策略 | |||||||
| 安全组配置信息 | LB 中的 HTTP 请求走私攻击 | |||||||
| RAM 用户角色权限信息 | Bucket 爆破 | |||||||
| Bucket Object 遍历 |