Khi các tổ chức ngày càng chuyển hệ thống và dữ liệu quan trọng sang Amazon Web Services (AWS), những kẻ tấn công mạng liên tục tìm kiếm các phương pháp mới để ẩn mình trong môi trường đám mây. AWSDoor là một công cụ được thiết kế để đơn giản hóa và tự động hóa các kỹ thuật duy trì quyền truy cập (persistence) trong AWS. Kỹ thuật duy trì quyền truy cập cho phép kẻ tấn công duy trì quyền truy cập ngay cả sau khi các biện pháp khắc phục ban đầu đã được thực hiện, là một bước quan trọng trong chu trình tấn công.

AWSDoor: Tự động hóa kỹ thuật duy trì quyền truy cập trong môi trường AWS

AWSDoor là một công cụ giúp tự động hóa quá trình thiết lập các điểm duy trì quyền truy cập trong các dịch vụ AWS. Công cụ này tận dụng các tính năng quản lý tích hợp của AWS để thực hiện các thay đổi một cách tinh vi, khó bị phát hiện.

Không như các loại mã độc truyền thống, AWSDoor tập trung vào việc sửa đổi các cấu hình hệ thống hợp pháp, khiến các hành vi này khó phân biệt với các hoạt động quản trị viên bình thường.

Lạm dụng AWS Identity and Access Management (IAM)

AWS IAM đóng vai trò kiểm soát ai có thể truy cập tài nguyên và những hành động họ có thể thực hiện. Kẻ tấn công sử dụng AWSDoor để sửa đổi cài đặt IAM mà không cần triển khai mã độc.

Thêm AccessKey vào tài khoản người dùng

Một phương pháp phổ biến là thêm AccessKey vào tài khoản người dùng hiện có. Với khóa này, kẻ tấn công mạng có thể kết nối thông qua giao diện dòng lệnh (CLI) của AWS như một người dùng hợp pháp.

AWSDoor có khả năng tạo và gắn các khóa này chỉ bằng một lệnh duy nhất. Mặc dù mỗi người dùng chỉ được phép có hai AccessKey, kẻ tấn công có thể liệt kê các khóa hiện có, vô hiệu hóa khóa không được sử dụng và sau đó thêm khóa của mình mà không gây nghi ngờ.

aws iam list-access-keys --user-name <tên_người_dùng>
aws iam update-access-key --access-key-id <id_khóa_cũ> --status Inactive --user-name <tên_người_dùng>
aws iam create-access-key --user-name <tên_người_dùng>

Thao túng chính sách tin cậy của Role (Role Trust Policies)

Một kỹ thuật IAM tinh vi hơn liên quan đến việc thay đổi chính sách tin cậy của role. Các AWS role sử dụng chính sách tin cậy để xác định những thực thể nào có thể đảm nhận role đó.

Bằng cách chèn một tài khoản hoặc role AWS độc hại vào chính sách tin cậy, kẻ tấn công mạng có thể đảm nhận các role có đặc quyền cao từ bên ngoài tổ chức.

AWSDoor tự động hóa các bước chèn và xác nhận, giúp việc “backdoor” các chính sách tin cậy trở nên dễ dàng hơn. Những thay đổi như vậy hòa lẫn vào các hành động quản trị viên thông thường, đòi hỏi các đội phòng thủ phải giám sát chặt chẽ tất cả các cập nhật chính sách.

Duy trì quyền truy cập thông qua các dịch vụ đám mây khác

Ngoài IAM, các dịch vụ đám mây như chức năng Lambda và phiên bản EC2 cung cấp các tùy chọn duy trì quyền truy cập khác.

Lạm dụng chức năng AWS Lambda

AWSDoor có thể tạo hoặc cập nhật các chức năng Lambda với các backdoor ẩn. Kẻ tấn công có thể gắn mã độc trực tiếp hoặc ẩn chúng bên trong các lớp Lambda (Lambda layers), đây là các gói riêng biệt không hiển thị trong giao diện chức năng chính.

Mỗi khi chức năng chạy, mã ẩn sẽ được thực thi. Điều này cho phép kẻ tấn công tránh bị phát hiện trừ khi đội phòng thủ kiểm tra thủ công nội dung của lớp.

Duy trì quyền truy cập trên phiên bản EC2

Trên các phiên bản EC2, AWSDoor tận dụng AWS Systems Manager (SSM) để cài đặt các đường hầm SSH ngược (reverse SSH tunnels). Phương pháp này sử dụng tác nhân SSM để tải lên khóa SSH và tạo một proxy, cho phép kẻ tấn công mạng kết nối ngược lại vào mạng bất cứ lúc nào.

Đường hầm này có thể chạy như một dịch vụ nền, khiến việc phát hiện trở nên khó khăn. Việc duy trì quyền truy cập trên các phiên bản EC2 hiệu quả vì nó dựa vào các tính năng quản lý AWS tích hợp sẵn thay vì các công cụ bên ngoài.

Biện pháp phòng thủ và phát hiện xâm nhập trong môi trường AWS

Bảo vệ chống lại các công cụ như AWSDoor đòi hỏi phải giám sát chặt chẽ các nhật ký và cấu hình AWS. Các đội an ninh mạng cần triển khai chiến lược phòng thủ đa lớp để giảm thiểu rủi ro bảo mật.

Giám sát nhật ký AWS CloudTrail

AWS CloudTrail ghi lại tất cả các cuộc gọi API, bao gồm các thay đổi chính sách IAM, triển khai Lambda và phiên SSM. Việc thiết lập cảnh báo cho các hành vi bất thường là rất quan trọng.

• Cảnh báo cập nhật chính sách tin cậy bất thường: Theo dõi các thay đổi đột ngột hoặc không được ủy quyền đối với chính sách tin cậy của role.
• Tạo AccessKey mới: Bất kỳ việc tạo AccessKey mới nào, đặc biệt là cho các tài khoản không thường xuyên sử dụng, cần được xem xét kỹ lưỡng.
• Gắn lớp Lambda: Kiểm tra các lớp Lambda được gắn vào các chức năng, đặc biệt là những lớp không rõ nguồn gốc.

Để tìm hiểu thêm về các kỹ thuật phòng thủ này, bạn có thể tham khảo bài viết chi tiết từ Risk&Insight Wavestone: AWSDoor: Persistence on AWS.

Thực thi chính sách với AWS Config

AWS Config có thể thực thi các quy tắc để gắn cờ các chính sách sử dụng ký tự đại diện (wildcard) hoặc câu lệnh NotAction, những yếu tố thường chỉ ra các đặc quyền bất hợp pháp. Điều này giúp ngăn chặn việc cấu hình các quyền hạn quá rộng, tạo điều kiện cho tấn công mạng.

Kiểm tra và xác thực định kỳ

Kiểm tra định kỳ người dùng IAM, role và các chức năng serverless giúp phát hiện các thay đổi trái phép trước khi chúng có thể bị khai thác. Việc loại bỏ sử dụng AccessKey dài hạn và chuyển sang AWS Single Sign-On (SSO) giúp giảm bề mặt tấn công.

Hạn chế quyền truy cập vào dịch vụ bảo mật

Hạn chế quyền hạn cho AWS Config, CloudTrail và GuardDuty đảm bảo kẻ tấn công không thể vô hiệu hóa dịch vụ ghi nhật ký hoặc cảnh báo. Bảo vệ các dịch vụ này là một lớp phòng thủ quan trọng.

Khi môi trường đám mây phát triển về quy mô và độ phức tạp, các công cụ như AWSDoor giúp kẻ tấn công mạng dễ dàng ẩn mình hơn. Bằng cách kết hợp giám sát liên tục, thực hành nguyên tắc đặc quyền tối thiểu (least-privilege) và kiểm tra tuân thủ tự động, các tổ chức có thể giảm rủi ro bảo mật và phát hiện các kỹ thuật duy trì quyền truy cập trước khi chúng dẫn đến các vụ xâm nhập nghiêm trọng.