随着云服务的使用面越来越大，攻击者正在琢磨着滥用云服务的特性，遍历网络中可能的攻击目标，以便趁机发起攻击，并隐藏这些活动。

最近发现的一系列新的证据表明，攻击者正在使用越来越先进的攻击技术，来针对那些不按安全标准使用云的用户，并利用公共云平台常见的功能，在攻击和持续入侵目标时隐藏攻击活动。

本文的研究发现来自Threat Stack security安全团队，该团队通过持续多年观察云服务客户端的攻击行为，才发现了这一结果。团队的负责人Sam Bisbee表示，早在2016年，他们就注意到攻击者利用亚马逊网络服务（AWS）的攻击变得越来越复杂，这一趋势在2017年更加明显。

该团队指出，问题不在于AWS的防护技术出了问题，而在于攻击者恶意使用它运行的方式。Bisbee解释道：

这些攻击的发生，不是AWS服务和软件中出现了漏洞，而是攻击者以更复杂的方式利用AWS的功能和属性。

在一般的简单攻击中，攻击者通常会窃取AWS密钥，并寻找存储在开放S3存储桶中的资源的直接路径，或者他们启动新的Amazon Elastic Compute Cloud（EC2）来挖掘加密货币。在过去的几年中，配置错误的S3存储桶已经不是什么新鲜的事了，比如2017年底，S3存储桶在线暴露1.23亿美国家庭上演生活直播；又比如2018年5月，S3存储桶配置错误致成千上万印度板球球员个人信息泄露。不过亚马逊强调，默认情况下S3存储桶还是安全的，另外他们还推出了Macie以保护AWS S3数据，并通过AWS Trusted Advisor提供免费的桶检查。但Bisbee表示：

虽然这些不太先进的技术仍然存在某些安全问题，利用AWS的威胁变得越来越复杂和针对性，比如攻击者对AWS功能发起攻击时，会结合基于网络的入侵攻击。在任何行业和任何平台上，都存在道高一尺魔高一丈的事情，随着攻击技术的提高，云服务的保护也应快速升级。

利用公有云服务进行攻击的过程

大多数攻击都是从盗窃登录凭证开始的，Bisbee也表示这是最常见的攻击切入点。攻击者可以通过网络钓鱼攻击窃取云服务访问密钥或凭据，或通过安装恶意软件以获取用户名和密码，另外攻击者还可以从开发人员可能意外上传到Github存储库中的信息里分析出有用的数据。

在获取凭证后，下一步攻击就是获得一定级别的操作权限。如果攻击者意识到所攻击的设备没有什么有价值的东西，他可能会尝试在AWS中创建其他角色或凭据，然后在目标环境中启动新的EC2实例。Amazon EC2 提供不同的实例类型，以便用户可以选择需要的CPU、内存、存储和网络容量来运行你的应用程序。有关更多信息，请参阅实例类型。但是，被盗凭证必须能够访问IAM才能创建新角色，这是AWS默认情况下不允许的。Bisbee表示：

通常，按照大多数AWS帐户的配置方式，我可以在网络中的任何位置创建我想要的AWS实例。这个位置可以位于网络上，也可以位于云服务器基础设施和数据库所在的地方。

至此，攻击者已在网络中建立了一个可以扫描目标的“滩头阵地”。接下来，攻击者就可以在传统的网络攻击链中，利用EC2实例感染网络上的不同主机。

登陆新主机后，攻击者会检查其AWS权限。如果攻击者只是在寻找少量数据，他可以通过终端或受感染的主机链，绕过DLP工具。然而，所需的数据量取决于攻击者的攻击动机。

哪些企业网络最容易被渗透

Bisbee表示：

以上介绍的这些攻击行为模式通常出现在更有针对性的持续攻击中。大多数攻击者都试图获得对特定数据的访问权限，并且攻击目标通常会集中在制造业、金融业和技术业等热门行业中。

而攻击者所寻求的数据量取决于攻击的目标。如果目标是存储医疗保健信息或选民记录的公司服务器，则攻击者一定会批量查找数据。如果攻击者的目标是媒体公司，他可能只想偷取未发布的内容或更机密的具体内容。由于数据可以通过复制粘贴或截图来提取，所以安保人员很难检测到这种偷取行为。

而AWS场景中的攻击难以被检测的一个原因是，大多数安全监控技术都假设攻击者希望深入潜入主机并逐步升级操作权限。但实际情况是，攻击者们都试图在不干扰主机的情况下，返回到AWS控制平台，而这个趋势，则是目前大多数安全监控技术都没有注意到的。

保护AWS的最新方法

换句话说，AWS与底层服务器一样重要，安保人员需要监控AWS环境的各个方面。目前，亚马逊已升级了多项服务以提升AWS安全性。 

比如Amazon GuardDuty，它既经济高效又易于使用，是一种托管的威胁检测服务，可持续监控恶意或未经授权的行为，从而帮助保护你的AWS账户和工作负载。该服务会监控表明账户可能被盗用的活动，如异常API调用或潜在未授权部署。GuardDuty还能检测到各种潜在的实例损坏或来自攻击者的侦测。你只需在AWS管理控制台中单击几次鼠标即可启用Amazon GuardDuty，然后该服务便可立即开始分析你所有AWS账户上的数十亿个事件，以发现风险迹象。GuardDuty通过集成的威胁情报源识别可疑攻击者，并使用机器学习来检测账户和工作负载活动中的异常。如果检测到潜在威胁，该服务会向GuardDuty控制台和AWS CloudWatch事件提供详细的安全警报。这使得用户可以根据警报采取措施，并将警报轻松集成到现有的事件管理和工作流系统中。

而Amazon Inspector则是一项独立的服务业务，它是一项自动安全评估服务，有助于提高在AWS上部署的应用程序的安全性与合规性。Amazon Inspector会自动评估应用程序的漏洞以及相较于最佳实践的偏差。执行评估后，Amazon Inspector会生成按严重程度确定优先级的安全检验详细列表。这些评估结果可直接接受审核，也可作为通过Amazon Inspector控制台或API提供的详细评估报告的一部分接受审核。

为了帮助你快速入门，Amazon Inspector纳入了知识库，包含数百条规则，可映射至常见的最佳安全实践以及漏洞定义。内置规则的示例包括检查当前启用的远程根登录或已安装的易受攻击的软件版本。AWS安全研究员会定期更新这些规则。