侵犯者可以利用 AWS VPC 提供的一个功能隐藏自身 IP

Amazon Virtual Private Cloud (Amazon VPC)允许你在已定义的虚拟网络内启动AWS资源。这个虚拟网络与你在数据中心中运行的传统网络极其相似，并会为你提供使用AWS的可扩展基础设施的优势。简单来说，VPC就是一个AWS用来隔离你的网络与其他客户网络的虚拟网络服务。在一个VPC里面，用户的数据会逻辑上地与其他AWS租户分离，用以保障数据安全。可以简单地理解为一个VPC就是一个虚拟的数据中心，在这个虚拟数据中心内我们可以创建不同的子网(公有网络和私有网络)，搭建我们的网页服务器、应用服务器、数据库服务器等等服务。VPC有如下特点：

 VPC内可以创建多个子网;

 可以在选择的子网上启动EC2实例;

 在每一个子网上分配自己规划的IP地址;

 每一个子网配置自己的路由表;

创建一个Internet Gateway并且绑定到VPC上，让EC2实例可以访问互联网;

 VPC对你的AWS资源有更安全的保护;

……

AWS VPC努力在整个企业中识别和检测攻击者的技术;在终端、本地和云上，Hunters 团队研究了一种使用 VPC 功能的技术，允许客户控制他们的 IP 地址。攻击者可以使用它来控制在访问受感染账户时写入 AWS CloudTrail 日志的 IP 地址。这可能使攻击者能够欺骗依赖 Cloudtrail 日志的各种安全保护措施，例如 SIEM 和云安全工具。其中包括但不限于 GuardDuty、Rapid7 和 Lacework。此外，寻找攻击证据的分析师可能会忽略它。

这篇文章回顾了混淆处理技术的技术细节，并提供了可行的措施建议。

攻击者控制CloudTrail SourceIP

通过控制他们的源 IP 地址，攻击者可以隐藏起来，从而可能绕过完全依赖于 AWS CloudTrail 的安全措施。

因此，通过使恶意行为看起来好像是由合法对象执行的，这就可以使恶意行为看起来是无害的，并且很难检测攻击痕迹并将入侵归因于特定的来源。

如果你的安全工具仅依赖 AWS CloudTrail 日志中的 sourceIP 字段，缓解措施如下。

技术分析

为了成功执行这种技术，攻击者需要从受害者账户获得合法 AWS 凭证的访问权限，然后创建 VPC 终端，该功能允许你的 VPC 中的 EC2 实例和 AWS 服务在他们自己的账户内进行直接通信。创建一个IP范围的VPC，当他们使用被破坏的凭证时，可以混淆他们的流量。以下是我们需要描述的关键功能，以解释如何使用该技术：

CloudTrail 日志有一个“sourceIPAddress”字段。该字段包含攻击者的 IP 地址，在大多数情况下是公共 IPv4 地址。

但是，如果攻击者在AWS VPC内通过VPC的终端发出AWS API请求，则CloudTrail日志中登录的IP地址就是VPC中“内部”EC2的IP地址，即攻击者能够控制的IP地址。

用户可以在VPC内设置任意IPv4地址范围，包括rfc1918地址范围和可对外路由的IP地址范围。可公开路由的IP块只能通过虚拟专用网关访问，不能通过Internet网关访问。这允许攻击者创建一个IP寻址方案，模仿受害者自己的网络或信誉良好的外部服务。

另一个重要的事实是，登录到CloudTrail中的userAgent字段显示了攻击者的userAgent字符串，它完全由进行API调用的攻击者控制。然而，这并不是该技术的直接组成部分，当使用它时，它可以帮助进一步使模拟过程看起来合法。

在私有 AWS 账户(攻击者账户“A”)中创建了一个带有我们选择的私有 IP CIDR 块 (12.34.56.0/24) 的 VPC。

然后，我们在这个 VPC 中创建了一个 EC2 实例，并选择了它的私有 IPv4 地址为 12.34.56.78。

 

带有“外部”私有IPv4地址的攻击者设备

我们在受害者的帐户(“B”)中生成了 API 凭据，作为在使用该技术之前被攻击者破坏的凭据。

然后，我们在攻击者 EC2 实例上的 ~/.aws/credentials 文件中配置了这些“被盗”凭证，以便从攻击者控制的账户 A 中的实例发出的 AWS CLI 调用将使用它们。

接下来，我们在攻击者帐户中为我们打算进行 API 调用的服务创建了 VPC 终端。

我们从可以创建VPC终端的125个AWS服务中选择了44个最重要服务的子集，并且为每个服务选择了一个不需要任何特定参数的API调用。

为了验证该技术，我们进行了测试。为了进行比较，我们首先从 EC2 实例对服务执行 API 调用，而不是通过 VPC 终端进行隧道传输。这些调用以实例的公共 IP 地址作为源 IP 显示在 CloudTrail 日志中。

在下一步中，我们为上述服务创建了 VPC 终端节点，并在每个服务中重新运行 AWS CLI 命令，这次是通过 VPC 终端节点。