浅谈云上攻防——云服务器攻防矩阵

前言

云服务器（Cloud Virtual Machine，CVM）是一种较为常见的云服务，为用户提供安全可靠以及高效的计算服务。用户可以灵活的扩展以及缩减计算资源，以适应变化的业务需求。使用云服务器可以极大降低用户的软硬件采购成本以及IT 运维成本。

由于云服务器中承载着用户的业务以及数据，其安全性尤为重要而云服务器的风险往往来自于两方面：云厂商平台侧的风险与用户在使用云服务器时的风险。与用户侧风险相比，平台侧的漏洞往往带来更广泛的影响，例如于2018 披露的AWS Launching EC2s did not require specifying AMI owner漏洞（CVE-2018-15869）、2020年披露的AWS XSS on EC2 web console漏洞；而与平台侧漏洞相比，用户侧漏洞更容易产生，并且可以对用户资产代理严重影响，例如2020年美高梅(MGM.US)大规模客户数据泄露为例，美高梅酒店由于错误配置，导致云服务器可以在未经授权情况下访问，导致1.42亿有关客人的信息暗网上出售，这些数据包含客人的家庭住址、联系信息、出生日期、驾照号码和护照号码。

云服务器的安全性至关重要，只有深入了解针对云服务器的风险以及攻击手段，才能够有效的帮助云厂商以及用户在面对这些威胁时有效的识别并采取对应的防护手段，从而保护云上业务以及数据的安全。

云服务器攻防矩阵概览

腾讯安全云鼎实验室以公开的云厂商历史漏洞数据、安全事件，以及腾讯云自身的安全数据为基础，抽象出针对云的攻防矩阵，并于2021年9月26日西部云安全峰会上发布的《云安全攻防矩阵v1.0》中首次亮相。《云安全攻防矩阵v1.0》由云服务器、容器以及对象存储服务攻防矩阵共同组成。

本文将详细介绍《云安全攻防矩阵》中关于云服务器攻防矩阵部分内容，以帮助开发、运维以及安全人员了解云服务器的安全风险。

 云服务器攻防矩阵

云服务器攻防矩阵详解

初始访问

云平台主API密钥泄露

云平台主API密钥重要性等同于用户的登录密码，其代表了账号所有者的身份以及对应的权限。

API 密钥由SecretId和SecretKey组成，用户可以通过API密钥来访问云平台API进而管理账号下的资源。在一些攻击场景中，由于开发者不安全的开发以及配置导致凭据泄露；而在另一些针对设备的入侵场景中，攻击者将入侵设备并获取设备中存储的云平台凭据，例如2020年TeamTNT组织针对 Docker的攻击事件中，恶意程序将会扫描受感染系统的 ~/.aws/credentials 和 ~/.aws/config文件并窃取，导致AWS 凭证泄露。

在攻击者可以通过窃取到的云平台主API 密钥后，冒用账号所有者的身份入侵云平台，非法操作云服务器，篡改其中业务代码、添加后门程序或窃取其中数据。

云平台账号非法登录

云平台提供多种身份验证机制以供用户登录，包括手机验证、账号密码验证、邮箱验证等。在云平台登录环节，攻击者通过多种手法进行攻击以获取用户的登录权限，并冒用用户身份非法登录，具体的技术包括使用弱口令、使用用户泄露账号数据、骗取用户登录手机验证码、盗取用户登录账号等。攻击者使用获取到的账号信息进行非法登录云平台后，即可操作云服务器。

实例登录信息泄露

在购买并创建云服务器后，用户可以自行配置云服务器的登录用户名以及登录密码，Linux云服务器往往支持用户通过ssh的方式使用配置的用户名密码或SSH密钥的方式远程登录云服务器；在Windows服务器中，用户可以通过RDP文件或是远程桌面的形式登录云服务器。当上述这些云服务器实例登录信息被窃取后，攻击者可以通过这些信息非法登录云服务器实例。

账户劫持

当云厂商提供的控制台存在漏洞时，用户的账户存在一定的劫持风险。以AWS 控制台更改历史记录功能模块处XSS漏洞以及AWS 控制台实例tag处XSS为例，攻击者可以通过这些XSS漏洞完成账户劫持攻击，从而获取云服务器实例的控制权。

网络钓鱼

为了获取云服务器的访问权限，攻击者可采用网络钓鱼技术手段完成此阶段攻击。攻击者通过向云服务器管理人员以及运维人员发送特定主题的钓鱼邮件、或是伪装身份与管理人员以及运维人员通过聊天工具进行交流，通过窃取凭据、登录信息或是安插后门的形式获取云服务器控制权。

应用程序漏洞

当云服务器实例中运行的应用程序存在漏洞、或是由于配置不当导致这些应用可以被非法访问时，攻击者可以通过扫描探测的方式发现并利用这些应用程序漏洞进行攻击，从而获取云服务器实例的访问权限。

使用恶意或存在漏洞的自定义镜像

云平台为用户提供公共镜像、自定义镜像等镜像服务以供用户快速创建和此镜像相同配置的云服务器实例。这里的镜像虽然与Docker镜像不同，其底层使用的是云硬盘快照服务，但云