雲端參數調教工作坊系列報導
本文將以雲端主機最常發生的事件(被當成 DDoS 跳板機),探究其發生原因,以及如何透過了解雲端參數調教來防範此類攻擊。
文/果核數位雲端實驗室
隨著雲端運算的普及,企業將越來越多的業務遷移至雲端環境。然而,雲端環境並非萬無一失,仍存在著各種資安威脅,在雲端分享式安全責任中,雲端用戶應負的安全責任更是常被忽略的,導致雲端資安事件層出不窮。其中,雲端主機被駭客利用作為 DDoS 攻擊的跳板機,導致雲帳單刷爆,是常見且最有感的雲資安事件之一。
案例背景
在某企業的雲端主機上,因未能妥善配置安全設置,導致其主機被駭客利用,成為 DDoS 攻擊的跳板。攻擊者透過該主機發起大規模的流量攻擊,目標是其他企業的伺服器。此案例客戶的雲環境沒有定期檢視雲環境的配置,也沒有監控機制,在被利用成跳板的攻擊期間產生超額流量而不自知,而雲端是根據流量計費,此案例客戶在收到鉅額帳單時已經太遲了。
事件分析過程
通常每月初客戶都會定期收到雲端對帳單,卻發現帳單金額比平時超出甚多,檢視對帳單明細,發現流量費是主要超額帳單的原因,覺得不合理,立即與雲服務廠商聯繫,表達對帳單的疑慮並請求展開調查。
由於客戶環境並沒有啟用監控和日誌,雲資安架構師無從查找與分析,因此先從檢視雲環境的配置設定開始進行,檢視過程中發現網路存取規則有一條是對外可被公開存取(Public Accessible),且該異常網路存取規則是套用在資料庫主機上,初步判斷資料庫主機應不需要對外可被公開存取,同時也檢視客戶雲端環境即時流量,確認大量對外流量都是來至於該資料庫主機。至於為什麼會有這一條對外可被公開存取且套用在資料庫主機上,客戶表示可能是因為之前為了測試 PoC 所建立的。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
在和客戶確認後,立即關閉這條存取規則,當下,對外大量流量立即大幅減少,為了找出根本原因,雲資安架構師進入資料庫主機了解其系統使用與設定,發現資料庫為了提升效能使用 Memcached(Memcached 是用於加速網站和網路的資料庫快取系統),但 Memcached 存在 UDP 協定漏洞,易遭惡意人士使用放大攻擊,使資料庫主機去對外部進行 UDP 洪水 DDoS 攻擊(Flood DDoS),產生傳送大量網際網路流量的行為,因此建議客戶如果不需要,請務必停用 UDP 端口。
DDoS攻擊原理
DDoS(Distributed Denial of Service)攻擊是一種透過大量流量癱瘓目標伺服器或網路的攻擊手法。攻擊者通常會控制大量的機器(如殭屍電腦)向目標發送大量請求,使其無法正常回應合法用戶的請求,進而導致服務中斷。
DDoS 攻擊可分為以下幾種類型:
- 流量型 DDoS 攻擊: 透過大量的流量淹沒目標,使其無法處理。
- 協議型 DDoS 攻擊: 利用協議漏洞發送畸形數據包,消耗目標的資源。
- 應用層 DDoS 攻擊: 針對特定應用程式發起攻擊,例如 HTTP Flood、SQL Injection 等。
此案例的 DDoS 攻擊類型屬於流量型 DDoS 攻擊,這類型攻擊通常會伴隨傳送大量流量,這對以流量計費的雲端帳單是很傷荷包的。
雲端主機成為 DDoS 跳板機的原因
雲端主機之所以容易成為 DDoS 攻擊的跳板機,主要有以下幾個原因:
- 配置不當:雲端主機的初始配置未加強安全性,例如開放不必要的端口、過於寬鬆的網路存取控制和使用弱密碼等,很容易被成為資安破口。
- 漏洞未修補: 雲端主機的操作系統、應用程式若存在漏洞,駭客可利用這些漏洞取得控制權。
- 缺乏監控: 若未對雲端環境進行持續監控,無法即時發現異常活動和威脅事件,事實上,很多資安威脅與資料外洩事件是無感。
- 帳號被盜用: 駭客可能透過釣魚攻擊等手法盜取用戶的帳號與憑證,而帳號認證又沒有 MFA(多重身份驗證),很容易被控制雲端主機。
此案例中,客戶雲端環境有兩個因素導致,一是配置不當,網路存取控制設定對外可被公開存取和沒有停用不必要 UDP 端口,二是缺乏監控,即使因配置不當被利用成為 DDoS 跳板機,如果有監控偵測機制,也能立即知道資料庫主機有傳送大量網際網路流量的行為,不用等到收到鉅額帳單才發現。
列舉幾個 AWS 常見配置錯誤(Misconfiguration)的具體設定
- AWS Securiyt Group 規則設定
來源位置為「0.0.0.0」存取你的 ssh 端口,這代表外部任何人都可以遠端登入你的雲端主機。(見圖一)
- S3 存取權為公有(Public Access)
S3 為雲端物件儲存(Object Storage)服務,其存取權常被設定成公有(Block all public access 為 off),表示外部任何人都可以存取 S3 的資料,是常見的雲端資料外洩原因。(見圖二)
- IAM 使用者權限過大
AWS IAM 權限政策(Permissions Policies)很細緻又很多,最佳實踐是讓雲端用戶僅被賦予必要的權限政策,但實際上是 IAM 使用者常被賦予管理者權限(AdministratorAccess)。(見圖三)
- EBS 儲存(Volume)未啟用加密
在建立 EBS 儲存過程中,直接採用預設值,導致存放在 EBS 的資料是沒有被加密保護的。(見圖四)
- IAM 帳號未啟用多重身份驗證(MFA)
建立 IAM 帳號過程中,忽略啟用多重身份驗證,只有單一密碼驗證保護,很容易遭遇到帳號被盜用。(見圖五)
- CloudTrail 稽核日誌未啟用或是被停用
稽核日誌沒有啟用或被停用,表示雲端上的任何活動是沒有被記錄的,是無法發現雲端上異常活動和威脅事件。(見圖六)
雲端主機成為 DDoS 跳板機的防護措施
要如何避免雲端主機成為 DDoS 跳板機呢?
根據 Gartner 報告,到 2025 年 90% 以上的雲端安全事件都是人為的疏忽或錯誤導致。人為的疏忽或錯誤會導致配置不當,就是我們常聽到的 Misconfiguration,其實雲端和地端類似,要進行定期的安全配置檢查和持續性的監控,主要有以下幾個層面:
- 加強身份驗證: 採用多因素驗證(MFA)等強大的身份驗證機制,防止雲端帳號被盜用。
- 帳號權限訪問控制:根據最小權限原則,限制用戶對雲端資源的訪問權限。
- 網路存取控制原則:採最小原則,只允許合法使用者存取雲端服務,並禁止未經授權的訪問。
- 定期雲端資安健診:以最佳實務(CIS/Best Practices) 來檢測雲環境安全狀態。
- 持續雲端資安監控: 對雲端環境進行 24/7 SOC 資安監控,即時偵測發現風險與異常事件。
結語
雲端主機被當成 DDoS 跳板機是雲端資安最有感的資安事件,因為直接讓客戶的雲帳單爆量。攻擊者會利用雲端常見的配置錯誤來找出可被利用的雲端主機作為 DDoS 跳板機,企業應透過加強安全管控措施、定期檢視和持續性監控有效降低被攻擊的風險,保護自身的業務和客戶的信任,還有就是自己的荷包(費用)。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
