有很多方法可以渗透到云里

最后更新于2023年8月10日星期四18:08:51 GMT

在Rapid7，我们喜欢一个好的渗透测试故事. 所以他们经常表现出聪明, skill, resilience, 对客户安全的奉献只能来自于积极尝试打破它! In this series, 我们将分享一些来自渗透测试台的我们最喜欢的故事，并希望强调一些您可以提高自己组织的安全性的方法.

Rapid7被委托为一家大型保险集团进行AWS云生态系统测试. 测试包括查看内部和外部资产, AWS云平台本身, 并对其AWS基础设施进行配置扫描，以根据NIST的最佳实践指南发现差距.

我评估了他们的外部资产，但大多数ip都被配置为阻止未经授权的访问. 我继续测试，但没有获得任何外部资产的访问权限, with cloud, 一旦平台本身的访问被封锁，我就无能为力了. 但尽管如此，我还是继续探索云资源，即S3桶，AWS应用程序等.，使用基于公司的关键词. 例如:companyx, companyx.IT, companyx.media, etc.  最终，我发现S3存储桶在其外部网络上是公开可用的. 这些桶包含敏感信息，这些信息绝对是客户端的一个操作点.

我的下一步是完成对他们的AWS网络的配置扫描, 它们提供了云基础设施的完整可见性, 包括正在运行的资源, 附加到资源的角色, 开放服务, etc. 它还为客户提供了关于基于NIST最佳实践指南(如未使用访问密钥列表)所缺少的安全控制的有价值的见解, 未加密磁盘卷, 没有每90天轮换一次的键, 足够的日志, 可公开访问的服务，如SSH, RDP, and many more. 这个扫描是用Rapid7自己的工具完成的 InsightCloudSec 该工具为客户提供云网络的可视性，并帮助他们识别差距.

使用客户提供的只读凭证测试AWS云平台时, 我发现他们被一个强大的IAM策略锁定，该策略只允许查看平台上的云资源. 然而，在尝试列举漏洞之后，IAM策略中没有弱点. 这在后面会很重要!

在功能应用程序和EC2实例数据中发现了硬编码凭据，但我无法进一步利用它来升级特权. 在使用只读凭证枚举S3桶之后，多个包含客户发票和支付数据的S3桶, 以及“基础设施即代码”文件.  这提供了有关客户如何管理其自动化部署的信息. Beyond this, 我们找不到任何可以提升权限的漏洞, however, 在此阶段积累的所有数据都保存在手边，以防有机会将漏洞链接在一起并在测试的下一个阶段获得访问权. 尽管无法找到任何从平台本身升级特权的方法，这令人沮丧, 列举它让我对他们的环境有了更多的了解，这将在下一阶段证明是有用的.

在测试的最后阶段，我测试了范围内的所有内部资产. 这些主要是EC2实例上的windows服务器，托管不同类型的服务和应用程序. 我列举了这些服务器上的Active Directory域控制器，发现一些AD服务器允许NULL会话枚举，这意味着您可以连接到AD服务器并像用户一样转储所有域信息, groups, 密码策略, 没有认证.

在该域所有用户被访问后，部署密码喷雾攻击. Pretty quickly, 很明显，有多个用户使用了像Summer2023这样的弱密码, Winter23, or Password1. 许多账户甚至共享相同的密码! 这提供了大量的受损凭据，使我能够通过提供给这些受损帐户的访问级别. 我找到了一个有域名管理权限的账户，然后把NTDS给甩了.dit文件，其中包含所有域用户的哈希值. 有了这个，几个密码弱的账户被破解了.

包里有多个账户的权限, 剩下的唯一目标就是在AWS平台上获得某种访问权限. 使用从AWS云平台测试中收集的所有数据, 我首先查看了平台上的EC2实例以及分配给每个实例的角色. 然后我评估了有管理权限的账户. 我发现一个“xx-main-ec2-prod”角色附加到一个EC2实例上，我通过其中一个受损帐户对该实例具有管理访问权限. 使用RDP登录到EC2实例, 我ping通了IAM元数据服务器，并获得了“xx-main-ec2-prod”角色的临时AWS凭证.

有了这些证书, 我创建了一个新的AWS配置文件，并列举了与此角色关联的权限. “xx-main-ec2-prod”角色可以访问AWS帐户中的列表机密, 在所有S3桶上放置和删除对象, 向AWS帐户中的所有EC2实例发送操作系统命令, and modify logs, as well. 我继续列出AWS账户中的一些秘密，以确认我们获得的访问权限. 有这样的权限, 我能够向客户展示攻击者如何在其AWS平台上升级权限.

最后，该测试突出了云网络上的攻击面有多大. 即使你已经锁定了你的云平台, 基础设施资产可能是脆弱的，允许攻击者破坏它们，然后横向移动到云网络. 随着组织将他们的网络迁移到云端, 对他们来说，重要的是不要简单地依赖云平台来保护他们的网络，还要确保他们的个人资产得到持续的测试和保护.

看看我们今年的节目吧 拉斯维加斯的美国黑帽大会! 我们的专家将会做演讲，我们的展位将配备我们团队的许多成员. 顺便过来打个招呼.