Unit 42 云威胁报告，第 7 卷 应对不断扩大的攻击面

云 云应对威不断胁扩大报的告攻击面第7卷 目录 前言3 执行摘要4 现实中的云威胁6 云违规事件6 攻击场景1：从SIM-Swap到暗网中的数据泄露6 攻击场景2：从错误配置的防火墙到加密劫持僵尸网络9 云威胁行动者11 云端的疏忽12 硬编码凭据12 身份验证薄弱13 禁用日志记录13 无自动备份14 未加密的静态数据14 警报处理效率低下15 敏感数据暴露17 服务公开暴露17 未修补的漏洞18 云中开源软件的影响和风险20 CNCF项目中的漏洞趋势20 Web应用中的漏洞趋势22 越来越多的Web应用漏洞22 越来越多的Web应用攻击23 开源软件中的恶意软件包25 1.误植域名25 2.依赖混淆25 3.帐户接管26 4.自我破坏的开源软件26 开源软件依赖26 社区和政府响应29 结语30 研究方法31 作者31 编辑31 附录32 云威胁行动者TTP32 关于34 云威胁报告，第7卷|2 前言 经过了企业快速迁移到云的20年，2023年被视为云安全的转折点。云迁移的速度没有放缓的迹象（从2021年的3700亿美元，预计到2025年将达到8300亿美元1），许多云原生应用和架构已经成熟。云技术的动态性质—公有云服务的功能更新、新的攻击方法以及开源代码的广泛使用—现在正在促使人们意识到现代云原生开发所固有的风险。 采用云原生技术的企业越多，云原生应用的数量就越多。随后，云原生技术的普及和复杂性扩大了攻击面，使网络犯罪分子可以利用漏洞和错误配置。 根据过去12个月收集的数据，Unit42云威胁报告（第7卷）以广泛的视角介绍了常见的不一致问题如何对恶意行为敞开大门。我们的研究人员团队分析了来自各种来源的数据，以确定当今企业面临的最紧迫的威胁。我们还提供有关网络环境的实用建议，以减轻这些风险并保护您的企业免受伤害。 提高人们的意识有助于塑造云安全的未来，这可能包括安全工具的整合、流程和人员投资、安全最佳实践的采用以及企业和云提供商之间的协作，从而提高安全性。 我们希望这份报告能够成为安全专业人员和决策者以及当今面临云安全挑战的任何其他人员不可或缺的资源。我们相信，随时了解最新形势和主动应对潜在威胁可以为每个人创造一个更安全、更有保障的环境。 AnkurShah PaloAltoNetworksPrismaCloud 高级副总裁 1.云计算市场，MarketsandMarkets，2023年3月6日， https://www.marketsandmarkets.com/Market-Reports/cloud-computing-market-234.html#tab_default_2。 执行摘要 为了向安全领导者和从业者提供云安全的多方面视图，Unit42 的云威胁报告使用2022年收集的大规模数据全面审视了当前的云安全格局。我们检查影响大中型公司的真实漏洞，详细说明在 数千个多云环境中观察到的问题，并分析开源软件(OSS)漏洞对云的影响。 公有云可提供本地数据中心无法匹敌的敏捷性、可扩展性和安全性。特别是在实施正确的情况下，其现代安全功能有助于更有效地保护云工作负载。然而，云工作负载的快速发展和增长，以及管理混合和多云环境的复杂性，导致许多企业落后于趋势并无意中将安全漏洞引入其环境，我们目睹的许多传统资源、漏洞和不安全的配置都可以证明这一点。这些差距为攻击者提供了在云中立足的重要机会。 这项研究揭示了以下几点： 云用户反复犯着相同的错误。在大多数企业的云环境中，5%的安全规则触发了80%的警报。换句话说，每个企业都有一部分在其云工作负载中反复观察到的风险行为，例如不受限制的防火墙策略、暴露的数据库和未强制执行的多因素身份验证(MFA)。优先补救这些问题可以最大限度地提高安全投资回报。 安全警报通常需要数天才能解决。平均而言，安全团队需要145小时 （大约6天）来解决安全警报。远超半数(60%)的企业需要超过 4天的时间来解决安全问题。我们之前的研究表明，威胁行动者只 需几个小时就可以开始利用新披露的漏洞，因此目前修复警报的平均时间为潜在攻击者提供了长时间的可乘之机。 云中的敏感数据会导致隐藏的风险。诸如个人身份信息(PII)、财务记录、知识产权等敏感数据见于66%的存储段和63%的公开暴露存储段中。这些敏感数据无论是对于内部人员还是外部威胁都存在风险。由于无法深入了解每个数据对象中存储的是何种类型的信息，例如PII或信用卡号，因此很难防止敏感信息被意外泄露。 源代码中泄露的凭据在各类企业中普遍存在。绝大多数(83%) 的企业在其源代码控制管理系统中都有硬编码凭据，85%的企 业在虚拟机用户数据中有硬编码凭据。在分析每个云违规时，我们将泄露的凭据作为关键。凭据访问仍然是所有云威胁行动者的常用战术，也是攻击者在每次重大云漏洞中横向或纵向移动的方法。 对云用户来说，MFA不是强制的。至少四分之三(76%)的企业对控制台用户不强制执行MFA，58%的企业对根用户或管理员用户不强制执行MFA。CSP为用户提供Web控制台，以可视化方式管理云资源。然而，控制台访问更容易受到暴力破解攻击，因为攻击者不断使用在暗网上发现的泄露的用户名和密码来试探登录页面。 对软件供应链的攻击呈上升趋势。开源软件的普及和软件依赖关系的复杂性使得保护软件供应链变得困难。根据GitHubAdvisoryDatabase，2022年在所有主要软件包管理器注册表中发现了7,300多个恶意开源软件包。此类攻击的影响较为深远。供应链攻击研究表明，依赖混淆等技术成功渗透了多家科技巨头，最近窃取GitHubOAuth令牌的攻击影响了数十家企业。如果恶意代码提交到这些受到入侵的存储库，结果可能是灾难性的。 管理代码依赖关系十分具有挑战性。略高于一半(51%)的代码库需要依赖超过100个开源软件包。但是，开发人员只会将23% 的软件包直接导入。超过四分之三(77%)的所需软件包和漏洞 是由非根软件包引入的，这些软件包被定义为直接导入包的依赖项。例如，开发人员可能将软件包A导入项目，但软件包A依赖于软件包B和软件包C。软件包B和软件包C被视为非根依赖项。 对攻击者而言，未修补的漏洞仍然是唾手可得的果实。生产中近三分之二(63%)的代码库存在评级为高风险或严重风险(CVSS>=7.0)的未修补漏洞，而公有云中暴露的主机有11%存在高风险或严重风险漏洞。在云环境中，源代码中的一个漏洞可以复制到多个工作负载，从而对整个云基础架构构成风险。 现实中的云威胁 云违规事件 本节详细介绍了Unit42事件响应团队处理的云泄露事件中的战术、技术和过程(TTP)。所述场景已经过匿名和去识别化。 由于云采用率的增长，Unit42发现云漏洞数量不断增加。传统的数字取证和事件响应(DFIR)技术并非旨在处理这些类型的事件，因为调查安全事件所需的工具、流程和数据源在本地环境和云环境之间大不相同。 攻击场景1：从SIM-Swap到暗网中的数据泄露 Bob是一家金融公司的DevOps工程人员。某天，他突然无法登录公司的源代码管理(SCM)系统。他以为自己忘记了密码，于是点击了“忘记密码”按钮。在尝试检索SCM系统发送的密码重置链接时，他发现电子邮件帐户也无法登录了。同时无法访问两个关键资产给他敲响了警钟。他快速检查了其他帐户，结果发现自己的电话无法进行蜂窝连接。Bob曾是SIM-Swap攻击的受害者。他的电子邮件和绑定到电话号码的SCM帐户相继受到入侵。 SIM-Swap欺诈是一种手机帐户接管欺诈，其目标是使用短信或电话进行双因素身份验证。当攻击者使用社交工程诱骗受害者的移动运营商激活攻击者控制的新SIM卡时，就会发生这种情况。这使攻击者能够接管任何通过电话号码进行身份验证的受害者帐户。 TTP 我们按照MITREATT&CK云矩阵将攻击分为TTP。战术的顺序也对应于攻击的路径： •初始访问-攻击者如何在云端获得初始立足点： ○威胁行动者对受害者执行了SIM交换，并获得了与电话号码相关联的受害者电子邮件和SCM帐户的控制权。 ○接下来，威胁行动者克隆了600个源代码存储库并发现了属于四个不同云帐户的10个访问密钥。 •执行-攻击者如何运行恶意命令： ○被盗用的访问密钥允许威胁行动者使用控制平面应用编程接口(API)来执行其余的攻击。 •持久性-攻击者如何在受到入侵的环境中保持访问权限： ○一个具有IAMFullAccess角色的访问密钥允许威胁行动者在受感染的帐户中创建新用户。威胁行动者创建了2个新用户来冒充有效员工。 •权限升级-攻击者如何获得更多权限来访问更多资源： ○新创建的用户被授予更多特权权限，允许攻击者轻松执行侦察和横向移动。 •发现-攻击者如何获得更多关于被入侵环境的知识： ○威胁行动者枚举了所有虚拟机(VM)、数据库表和存储段。 •渗透-攻击者如何从受感染的云工作负载中窃取数据： ○威胁行动者： □克隆所有源代码存储库。 □转储了包含敏感信息的数据库表和存储桶的子集。 83%的企业在其源代码控制管理系统中都有硬编码凭据。 根据云威胁报告第6卷，99%的云身份过于宽松。 66%的云存储段包含敏感信息。 •影响-攻击者如何操纵、中断或破坏受到入侵的云工作负载： ○威胁行动者： □删除了一部分表和存储段。 □向受害者发送勒索信，威胁如果不支付赎金就泄露数据，Unit42将这种攻击类型归类为未加密的勒索。受害者拒绝支付赎金。 ○几个月后，一些泄露的数据出现在暗网上。 关键问题 •过度宽松的身份：DevOps工程师不需要访问整个公司的源代码存储库，尤其是在IAM不充分成为最重要的持续集成/持续交付(CI/CD)安全风险之一的情况下。3 创建用户、编辑权限策略或删除备份等特权权限应谨慎授予。云原生和第三方工具可以根据使用历史来收缩特权。授予最低特权权限是将安全事件影响最小化的最有效方式。 •凭据泄露：绝对不要将凭据提交到源代码存储库，无论是否可以公开访问。相反，使用AWSSTS等临时凭据服务将凭据动态地具体化，或使用HashiCorpVault等密钥管理服务来动态配置密钥。 •未启用日志记录：公司没有全面的日志记录足以确定数据泄露的规模。日志必须保存在与生产环境隔离的位置，使工程团队无法访问，以确保最强的安全性。 2022年勒索软件索要赎金的中位数为$650,000。2 61%的云帐户中存储段没有启用访问日志记录功能。 2.2023年Unit42勒索软件和勒索威胁报告，Unit42，2023年3月21日 https://start.paloaltonetworks.com/2023-unit42-ransomware-extortion-report。 3.DanielKrivelevich和OmerGil，排名前10的CI/CD安全风险，CiderSecurity，上次访问于2023年3月10日， https://www.cidersecurity.io/wp-content/uploads/2023/01/Top-10-CI_CD-Risks-OWASP-22.pdf。 云威胁报告，第7卷|8 攻击场景2：从错误配置的防火墙到加密劫持僵尸网络 周六晚上，一家中型电子商务公司的IT部门收到了一封来自云服务提供商的电子邮件，提醒他们云基础设施中存在僵尸网络活动。因为没有生产工作负载受到影响，而且问题似乎并不紧急，所以问题没有进一步升级。当IT管理员Alice在周一早上登录到云控制台时，她注意到当月账单激增。进一步的调查显示，上周五在多个地区创建了数百个未知的VM实例，所有这些实例都产生了高GPU使用率和网络流量。 公司曾是加密劫持攻击的受害者，威胁行动者曾部署了数百个VM实例，用于执行大规模加密挖矿和僵尸网络操作。 TTP •初始访问 ○由于迁移过程中安全组设置配置错误，内部Web服务器意外公