記5個基于ATT&CK的云原生攻擊示例
在過去的幾年里,關于云原生環境的攻擊報告越來越多。結合在眾多大型客戶云原生安全項目上的支持經驗和各類報告研究分析,我們對攻擊者的戰術、TTPs、活動周期、攻擊復雜程度都有了一定了解。為此,總結出本文內容,希望對云原生安全的生態建設有更多幫助。
目前,云原生場景下,攻擊者的主要動機是劫持資源進行挖礦和DoS攻擊。
以挖礦場景為例,在這類攻擊中,攻擊者主要使用二進制文件xmrig,這些鏡像明確地聲明了其設計目的就是為了挖礦。另一方面,如果某人拉取并運行的鏡像中隱藏了加密挖礦進程時,該組件很可能會成為有害的應用程序(PUA)。由于這種攻擊行為會導致性能下降,MITRE ATT&CK框架將其定義為資源劫持。
以DoS攻擊場景為例,Slowloris攻擊是一種使用專用軟件(如slowhttptest)、針對HTTP服務器發起的拒絕服務(DoS)攻擊。在攻擊過程中,攻擊機器發送不完整的HTTP請求,導致受害主機在等待接收剩余請求信息的同時打開多個鏈接。結果,主機服務器達到最大并發打開鏈接極限,無法打開新鏈接為合法的HTTP請求提供服務。
圖1:拒絕服務攻擊方案
自2020年初以來,基于容器的攻擊次數急劇增加,攻擊者開始采用愈發先進的繞過技術,可以繞過常規的安全策略,如靜態惡意軟件掃描。此外,攻擊者使用越來越多技術(例如,用于隱藏命令和控制基礎設施Web服務的防御繞過技術),來隱藏他們的攻擊行為,并實現持久化。
在這樣的攻擊背景下,青藤基于多年云原生安全、容器安全行業研究和實踐經驗,發布《容器安全成熟度驗證標準》,該報告依據3個層級、12大場景,總結了100+個容器安全成熟度Checklist,映射到具體的容器安全產品功能或能力當中,適用于具體項目、平臺和組織的安全檢查,幫助組織建立安全要求和安全標準,加強容器安全認知,確保容器安全性,感興趣的讀者可掃碼領取電子版方案。
該報告將容器安全成熟度分為3個層級,相關要求逐漸提升:Level1(基礎級安全)適用于所有容器項目;Level2(標準級安全)適用于那些有額外安全保護需求的容器項目,例如需要處理敏感數據或者業務邏輯;Level3(高級安全)適用于那些執行高價值交易、包含個人敏感數據的最關鍵容器項目,或任何需要最高信任級別的容器。覆蓋的12大場景有:組織層面、基礎設施、容器層面、編排管理、鏡像分發、Secrets管理、網絡安全、存儲安全、日志和監控、安全集成、災難恢復、測試。
為了更好地分析云原生場景下黑客攻擊的演變路徑,我們首先對云原生攻擊進行分類,然后基于ATT&CK框架進行分析。
云原生攻擊歸納分類
一個有經驗的攻擊者,其行為可能包含多個攻擊動作,我們從兩個維度對攻擊行為進行分類:第一個是攻擊的復雜程度,第二個是攻擊的影響范圍。
基于復雜程度劃分
有的攻擊者使用具有明確鏡像名稱的專用惡意鏡像,其鏡像名稱都很簡單,例如XMRIG或UDPFLOOD。在大多數情況下,這種攻擊手法并不難,攻擊者可以借此從Docker Hub拉取一個由第三方設計的鏡像,并使用相關配置運行該鏡像。
有的攻擊者使用合法的鏡像名稱,但這類鏡像名稱往往具有欺騙性,例如Ubuntu1。此外,鏡像的作者可能使用了各種技術來繞過檢測,例如關閉安全工具或混淆文件。在大多數情況下,這種攻擊手法復雜程度為中等。攻擊者設計鏡像并將其放置在Docker Hub中,然后命名一個具有誤導性的名稱,比如Nginx。
此外,攻擊者還會利用受信的基礎鏡像。這種攻擊手法復雜程度最高。攻擊者使用最新版本的官方通用鏡像(例如'alpine:latest'),畢竟使用官方的、看起來無害的鏡像會增加鏡像通過大多數安全工具掃描的可能性,因為用戶普遍會認為這類鏡像應該不會有任何漏洞或惡意組件。有些組織機構可能只允許白名單列表中的鏡像。使用官方鏡像提高了攻擊按計劃執行的可能性,因為大多數情況下,這些鏡像是預先批準可以使用的。
表1:對云原生攻擊的復雜度分析
基于影響范圍劃分
除了基于復雜度劃分攻擊類型之外,我們還整理了攻擊者每一次攻擊的目標影響范圍。基于此分析,我們檢測到兩種主要類型:網絡拒絕服務攻擊和資源劫持(主要是針對挖礦)。
表2:對云原生攻擊的影響范圍分析
基于ATT&CK的云原生分析
基于上述對云原生攻擊歸納總結,我們對云原生的攻擊復雜度和影響范圍都有一個基礎的了解。現在,我們將相關攻擊放入ATT&CK框架中進行分析,可以更加深入地了解云原生攻擊的TTPs、攻擊周期等特性。下圖,我們基于ATT&CK框架對過去12個月的攻擊進行了分析。由于攻擊者實現“初始訪問”這一戰術的方法通常是利用互聯網上公開的應用程序漏洞,因此,我們沒有詳細介紹這個戰術。
表3:基于ATT&CK框架的云原生攻擊圖
最常用戰術:防御繞過、命令和控制、發現
如下圖所示,在我們發現的所有攻擊中,攻擊者最常用的戰術分別是防御繞過、命令與控制、發現,這反映了攻擊的持久性和復雜性。
圖2:最常用的戰術是防御繞過、命令與控制、發現
通常,攻擊者最常見的目標是劫持資源,更具體地說是挖礦。為了更好地利用主機、繞過檢測,攻擊者會考慮主機的特性。因此,“發現”是一種最常用的戰術也就不足為奇了。此外,一些攻擊非常隱秘,每個鏡像都使用幾種“防御繞過”技術,如禁用安全工具、利用反調試技術等。
在一些攻擊中,攻擊者使用了無害鏡像。但是一旦運行,容器就會被用于從外部遠程下載惡意組件,包括與攻擊者使用的C2服務器進行遠程通信。因此,第三個最常用的類別是“命令和控制”戰術。
圖3:攻擊者使用鏡像攻擊的目標分類
從上圖可以看出,95%的鏡像用于劫持資源(挖礦),5%的鏡像用于發起網絡拒絕服務攻擊。這意味著,盡管有各種鏡像會用于攻擊云原生環境,但大多數攻擊旨在執行挖礦。我們推測,拒絕服務攻擊(DoS)不太常見,因為這種攻擊手法通常是發生在在野攻擊場景下,攻擊者可以輕松地找到DoS服務,或者找到強有力的工具發起重大攻擊。
基于ATT&CK的云原生攻擊示例
對于云原生的攻擊,我們使用MITRE ATT&CK框架作為基礎進行分析。攻擊者使用的大多數TTP都是ATT&CK框架中12個戰術分類中的一個子分類。通過使用這些子類別,我們介紹了每個子類別的說明和一些示例。此外,MITRE ATT&CK還提供了一種檢測威脅和降低風險的方法。
下文,我們分析一下攻擊者針對云原生使用的具體戰術和技術。
? 執行——腳本執行
用于攻擊的鏡像alpine:latest,在運行時會下載一些腳本。使用這些技術,攻擊者可以繞過一些不進行鏡像動態分析的安全工具。在這個例子中,攻擊者使用的腳本是其他人設計的,可能是在暗網上交易的。該腳本可以下載payload并向web服務發送ping命令,可以讓攻擊者查看目標主機的IP地址。
圖4:通過惡意的pop shell腳本運行合法的'alpine:latest'鏡像
? 持久化——局部作業調度
在一些攻擊中,攻擊者使用局部作業調度運行命令或腳本。這些命令定期在后臺運行,無需用戶交互。這增加了攻擊的持久化。
圖5:使用cron作業來增加攻擊的持久化
? 防御繞過——禁用安全工具
用于攻擊的鏡像alpine:latest在運行時會下載一些腳本,其中一些函數可用于檢測和禁用安全工具,如SELinux和AppArmor。
圖6:攻擊者正在禁用安全工具
? 發現——網絡服務掃描
攻擊者可能試圖獲取遠程主機上運行的服務列表,包括那些容易受到遠程軟件利用的服務。獲取此信息的方法包括使用攻擊者帶到受害系統上的工具來掃描端口和漏洞。我們在運行時階段曾發現過攻擊者在使用masscan和zgrab。
圖7:用網絡掃描工具掃描外部和內部網絡
? 命令和控制——Web服務
攻擊者使用了多種秘密通信技術與失陷主機通信,如下表所示:
表4:攻擊者使用秘密通信技術與失陷主機通信
結論
面對復雜的云原生環境,了解云原生攻擊類型,分析攻擊路徑,有助于找到更有效的入侵檢測方法,提高安全防護能力。在云原生領域,青藤是云原生安全服務的領軍者。青藤,擁有國內首個云原生安全實驗室,從2018年開始研發容器安全技術,經過3年的精心打磨,230萬行自研代碼,已經形成了原生的、安全的、先進的、完整的產品解決方案。青藤蜂巢?云原生安全平臺部署完全云原生化,提供覆蓋構建、分發、運行全生命周期安全能力,助力企業完成DevSecOps安全實踐落地。
目前,青藤蜂巢已經在超過100+頭部客戶中使用,產品卓越的技術和優秀的表現,得到了眾多行業權威專家和機構的高度認可。
青藤是國內首個通過信通院“可信云容器安全解決方案”最高級別認證的安全企業,也是唯一入選“2021年度云原生技術創新產品”的安全企業,已經獲得14項云原生安全相關的專利和軟件著作權。
青藤,是云原生計算基金會CNCF、Linux基金會、云原生產業聯盟、長三角云原生產業聯盟等機構的重要成員單位,攜手各方力量,積極推動云原生安全的快速發展。此外,青藤還積極參與由工信部、公安部等監管單位組織的云原生安全方向的工作,深度參與編寫業界首份《云原生架構安全白皮書(2021年)》,參與編寫制定公共安全行業標準《信息安全技術 容器安全監測產品安全技術要求》、《云原生成熟度模型(CNMM)標準體系》等內容。
