云服务器攻防矩阵概览

腾讯安全云鼎实验室以公开的云厂商历史漏洞数据、安全事件，以及腾讯云自身的安全数据为基础，抽象出针对云的攻防矩阵，并于2021年9月26日西部云安全峰会上发布的《云安全攻防矩阵v1.0》中首次亮相。《云安全攻防矩阵v1.0》由云服务器、容器以及对象存储服务攻防矩阵共同组成。

本文将详细介绍《云安全攻防矩阵》中关于云服务器攻防矩阵部分内容，以帮助开发、运维以及安全人员了解云服务器的安全风险。

云服务器攻防矩阵

云服务器攻防矩阵详解

初始访问

云平台主API密钥泄露

云平台主API密钥重要性等同于用户的登录密码，其代表了账号所有者的身份以及对应的权限。

API 密钥由SecretId和SecretKey组成，用户可以通过API密钥来访问云平台API进而管理账号下的资源。在一些攻击场景中，由于开发者不安全的开发以及配置导致凭据泄露；而在另一些针对设备的入侵场景中，攻击者将入侵设备并获取设备中存储的云平台凭据，例如2020年TeamTNT组织针对 Docker的攻击事件中，恶意程序将会扫描受感染系统的 ~/.aws/credentials 和 ~/.aws/config文件并窃取，导致AWS 凭证泄露。

在攻击者可以通过窃取到的云平台主API 密钥后，冒用账号所有者的身份入侵云平台，非法操作云服务器，篡改其中业务代码、添加后门程序或窃取其中数据。

云平台账号非法登录

云平台提供多种身份验证机制以供用户登录，包括手机验证、账号密码验证、邮箱验证等。在云平台登录环节，攻击者通过多种手法进行攻击以获取用户的登录权限，并冒用用户身份非法登录，具体的技术包括使用弱口令、使用用户泄露账号数据、骗取用户登录手机验证码、盗取用户登录账号等。攻击者使用获取到的账号信息进行非法登录云平台后，即可操作云服务器。

实例登录信息泄露

在购买并创建云服务器后，用户可以自行配置云服务器的登录用户名以及登录密码，Linux云服务器往往支持用户通过ssh的方式使用配置的用户名密码或SSH密钥的方式远程登录云服务器；在Windows服务器中，用户可以通过RDP文件或是远程桌面的形式登录云服务器。当上述这些云服务器实例登录信息被窃取后，攻击者可以通过这些信息非法登录云服务器实例。

账户劫持

当云厂商提供的控制台存在漏洞时，用户的账户存在一定的劫持风险。以AWS 控制台更改历史记录功能模块处XSS漏洞以及AWS 控制台实例tag处XSS为例，攻击者可以通过这些XSS漏洞完成账户劫持攻击，从而获取云服务器实例的控制权。

网络钓鱼

为了获取云服务器的访问权限，攻击者可采用网络钓鱼技术手段完成此阶段攻击。攻击者通过向云服务器管理人员以及运维人员发送特定主题的钓鱼邮件、或是伪装身份与管理人员以及运维人员通过聊天工具进行交流，通过窃取凭据、登录信息或是安插后门的形式获取云服务器控制权。

应用程序漏洞

当云服务器实例中运行的应用程序存在漏洞、或是由于配置不当导致这些应用可以被非法访问时，攻击者可以通过扫描探测的方式发现并利用这些应用程序漏洞进行攻击，从而获取云服务器实例的访问权限。

使用恶意或存在漏洞的自定义镜像

云平台为用户提供公共镜像、自定义镜像等镜像服务以供用户快速创建和此镜像相同配置的云服务器实例。这里的镜像虽然与Docker镜像不同，其底层使用的是云硬盘快照服务，但云服务器镜像与 Docker镜像一样存在着类似的风险，即恶意镜像以及存在漏洞的镜像风险。当用户使用其他用户共享的镜像创建云服务器实例时，云平台无法保证这个共享镜像的完整性或安全性。攻击者可以通过这个方式，制作恶意自定义镜像并通过共享的方式进行供应链攻击。

实例元数据服务未授权访问

云服务器实例元数据服务是一种提供查询运行中的实例内元数据的服务，云服务器实例元数据服务运行在链路本地地址上，当实例向元数据服务发起请求时，该请求不会通过网络传输，但是如果云服务器上的应用存在RCE、SSRF等漏洞时，攻击者可以通过漏洞访问实例元数据服务。通过云服务器实例元数据服务查询，攻击者除了可以获取云服务器实例的一些属性之外，更重要的是可以获取与实例绑定的拥有高权限的角色，并通过此角色获取云服务器的控制权。