Blackhat2023解读——规避云中的日志记录:AWS CloudTrail绕过
💡
原文中文,约3000字,阅读约需8分钟。
📝
内容提要
AWS CloudTrail是一项用于合规审计、运营审计和风险审计的AWS服务。它记录、监控和存储与AWS服务相关的账户活动,简化安全分析、资源更改跟踪和故障排除。文章介绍了三种绕过CloudTrail的方式,包括协议更改、未记录API和非生产Endpoints。作者建议研究人员使用Certificate Transparency日志、提取模型和尝试跨协议请求来寻找更多的绕过方式。
🎯
关键要点
-
AWS CloudTrail是一项用于合规审计、运营审计和风险审计的服务,记录与AWS服务相关的账户活动。
-
CloudTrail简化了安全分析、资源更改跟踪和故障排除,自动启用并记录过去90天的活动。
-
CloudTrail的优势包括简化合规、提高资源活动可见性、安全分析与故障排除以及安全自动化。
-
攻击者可以通过绕过CloudTrail来隐藏其在AWS账户中的操作,主要有三种方式:协议更改、未记录API和非生产Endpoints。
-
协议更改利用API调用中的枚举权限漏洞,导致某些请求不被CloudTrail记录。
-
未记录API是指存在于AWS中但未在公共文档中列出的API,这些API可能存在安全风险。
-
非生产Endpoints可以绕过CloudTrail监控,攻击者可通过这些Endpoints进行隐匿化的恶意攻击。
-
作者建议研究人员使用Certificate Transparency日志、提取模型和尝试跨协议请求来寻找更多绕过方式。
-
其他公有云服务提供商也应重视审计日志绕过的安全问题,采取相应措施以规避风险。
➡️
