【ATT&CK】云安全的新挑战 – AccessKey泄漏

“上云”是近些年来的互联网热门词汇，很多企业都在讲“上云”。而上云确实大大降低了企业的资源成本，让企业可以将更多的资源投入到其他合适的用途上。但是随着公有云利用率的快速增长，有越来越多的敏感内容被置于潜在的风险之中，将攻击者的视线也转移到云上来。

MITRE ATT&CK在十月份的TTP更新中，就围绕着云安全更新了一些TTP，本文将从实际案例出发，讲述云安全下的一个具体的挑战—AccessKey泄漏。

案例中涉及到的TTP有：

AccessKey（即访问密钥）是云平台用户在通过API访问云资源时用来确认用户身份的凭证，以确保访问者具有相关权限。AccessKey由云平台提供商（如亚马逊AWS、阿里云等）颁发给云主机的所有者，一般由AccessKeyID（访问密钥ID）和Secret Access Key（私有访问密钥）构成。

主账户/根用户的AccessKey具有主账户的完全权限，云平台提供商建议不要使用主账户/根用户AccessKey进行API调用。

Access Key用户验证的请求元素

• AccessKeyID：即用户名，用于区分不同用户

• Signtrue：签名，使用私钥计算后得出

• Timestamp：时间戳，防止重放攻击

• Date：时间，为每一个请求设置过期时间。

从前面一小节我们知道了AccessKey类似于用户的登录密码，如果该密码泄漏了，那么该用户权限所能访问的资源都会受到威胁。而造成AccessKey泄漏的情况，一般有如下几种：

1. 公开的托管代码库中存放AccessKey（源码泄漏问题）

2. APK文件中的配置文件存放AccessKey（反编译后可搜索）

3. WEB应用中的配置文件存放AccessKey（低权限webshell可访问）

在获取了AccessKey后，一般有如下几种方式来利用：

• 第三方WEB管理平台

• 本地管理工具（如ossbrowser、ossutil）

• 编程调用官方提供的API

ECS

• 云服务器（Elastic Compute Service，简称ECS）

RDS

• 关系型数据库服务（Relational Database Service，简称 RDS）是一种稳定可靠、可弹性伸缩的在线数据库服务。

• RDS 采用即开即用方式，兼容 MySQL、 SQL Server 两种关系型数据库，并提供数据库在线扩容、备份回滚、性能监测及分析功能。

• RDS 与云服务器搭配使用 I/O 性能倍增，内网互通避免网络瓶颈。

对象存储 OSS

• 对象存储（Object      Storage Service），是云平台对外提供的海量、安全和高可靠的云存储服务。

• RESTFul API 的平台无关性，容量和处理能力的弹性扩展，按实际容量付费真正使您专注于核心业务。

安全组

• 安全组是一种虚拟防火墙，具备状态检测和数据包过滤功能，用于在云端划分安全域。

• 同一安全组内的ECS实例之间默认内网网络互通。