研究：云服务已成黑客攻击新平台

9 成黑客承认滥用云服务

尽管云提供商尝试限制，信息安全人员和黑客还是经常滥用云服务执行侦察和攻击。

最近，得克萨斯理工大学的五位科学家发表了一篇研究论文，题为《云即攻击平台》，描述了他们与黑帽大会和 DEF CON 安全大会参会计算机安全专家的一系列访谈。

作为攻击心理学研究的一部分，他们采访了 75 位安全专业人士和黑客，其中 93% 以上承认滥用云服务创建攻击环境并发起攻击。

论文解释道：“据我们观察，这些专业黑客常采用通用策略滥用云平台，利用云平台资源利用率高的特性，在探测目标计算机、收集受害者数据、发现漏洞和发起攻击的过程中，保持低调隐秘。”

在给媒体的回应中，论文通讯作者，博士生 Chatterjee 称：“在调查中我们没有收集任何人口统计数据，所以无法分辨访谈对象到底是道德黑客/渗透测试员，还是恶意黑客。而且，DEF CON 这样的大会上，与会者没有姓名牌，我们所有人的标签都是‘人’。”

Chatterjee 表示，招募参与者回答问题很难，因为他们都很怕遇到的是社会工程攻击。她说：“在递给他们笔，让他们在调查图表上写下自己的想法时，其中一些受访者甚至以为我们是在盗取生物特征识别数据。”

调查表明，使用云服务进行攻击的人有共同的行为模式。他们会设置虚拟专用服务器 (VPS) 或多跳虚拟专用网 (VPN)，通过这些安全信道与虚拟机 (VM) 保持安全通信，并在虚拟机上加载 NMap、Metasploit 和 Wireshark 等网络安全工具，用于开展攻击行动。

基础设施即服务提供商试图通过虚拟机网络配额，或者 AWS GuardDuty 和 Amazon Inspector 等账户保护工具，来避免自身服务被滥用，但信息安全专业人士可以绕开这些平台限制。

受访者大多提到了 AWS，但 Google Cloud Platform (GCP) 被滥用的情况也不少。这些公司知道会发生滥用行为，但并没有为阻止滥用行为而充分监控基本账户。

媒体为此咨询了 AWS 和 Google。Google 发言人搬出了自家的 GCP 可接受使用策略。AWS 虽未回应，但也有类似的策略。

隐秘攻击

在系列论文《用云发起隐秘攻击》中，科学家描述了几种常见的攻击场景。

比如使用云平台执行网络钓鱼、DDoS、密码破解、流氓服务，以及运行命令与控制 (C2) 服务器等其他操作。论文还涵盖了使用 Oracle VirtualBox 和 Kali Linux 设置示例攻击服务器。

两篇论文都计划在 7 月的 IEEE 计算机协会计算机、软件和应用签名会议 (COMPSAC 2020) 上发表。

针对云提供商怎样有效应对云服务滥用的问题，研究人员给出了几条建议。其中一条就是通过背景核查加强客户身份验证。研究人员表示，贩卖虚假信用卡号的网站为匿名创建云账户提供了便利。

另外，优化网络使用跟踪和智能化虚拟机监测，可以更好地检测可疑账户。研究人员称，云提供商可以强制使用防火墙，鼓励更新虚拟机上的软件堵上漏洞，还可以创建可信软件存储库限制在平台上使用攻击工具。

但是，此类措施会增加云提供商的成本，且如果监督过于严格，也可能会让顾客望而却步。

这两篇论文的共同作者，得克萨斯理工大学计算机科学副教授 Akbar Siami-Namin 向媒体透露，云提供商面临技术和商业两方面的挑战。

他说：“安全，尤其是往基础设施中添加安全控制，意味着额外的支出。还会对底层系统的‘可用性’产生负面影响。由于云平台是分布式环境，我们很难确立坚固的堡垒来防止对手滥用。”

至于顾客招揽过程中新增的商业挑战，他表示：“如果云平台要求太多个人信息，比如信用卡、姓名、地址等等，那大家就不太愿意尝试云上的服务了。因此，云提供商会‘免费’提供一些基本算力，希望能将潜在客户（个人）转化为自家云平台的常客（一项长期投资）。”

但滥用云系统的人也会利用云提供商的这点好意。

云提供商已经意识到了这一问题。只是，从技术角度而言，系统很难做到刀枪不入，防不住攻击和滥用。正如论文中指出的，要识别这些滥用行为，云提供商可能需要人工智能和自动化检测加持，更加成熟，更具弹性和监测能力的跟踪系统。

《云即攻击平台》(Cloud as an Attack Platform)：

https://arxiv.org/pdf/2006.07914.pdf

《用云发起隐秘攻击》(Launching Stealth Attacks using Cloud)：

https://arxiv.org/pdf/2006.07908.pdf

声明：本文来自数世咨询，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。