1、身 份 和 访 问 管 理：第一道防线VOL.6云威胁报告云威胁报告，第 6 卷 2目录前言 3执行摘要 4谁在攻击云？5什么是云威胁行动者？5云威胁行动者的能力 5 TeamTNT 将云平台和云原生应用作为攻击目标 6 云威胁行动者使用 Log4j 攻击 CSP 凭据 7IAM 在云威胁行动者操作中的作用 8身份：通往云基础架构的途径 8基于证据的发现 9云威胁行动者矩阵 12 TeamTNT 12 WatchDog 13 Kinsing 14 Rocke 14 8220 15潜在的云威胁行动者未来发展 16结论和建议 17准备好识别云中的威胁了吗？18方法 18关于 19Prisma Cl

2、oud 19Unit 42 19作者 19贡献者 19云威胁报告，第 6 卷 3前言如果没有有效的身份和访问管理(IAM)策略，企业就永远无法指望在云中获得安全，这是由企业内部分散、快速演变和动态波动的本质决定的。随着过去几年疫情引发的向云平台的过渡，恶意攻击者比以往任何时候都更容易跟踪其进入云端的目标。根据2022 年云原生安全现状报告，“疫情期间，云工作负载总体显著增加，在云中托管的工作负载比例从 2020 年的平均 46%跃升至平均 59%。此外，69%的企业将一半以上的工作负载托管在云中，而 2020 年仅为 31%。”（参见图 1）。而且，身份和访问管理是云中最关键、最复杂且最容易出

3、错的服务之一。虽然云服务提供商(CSP)已经创建了许多防护措施来检查和验证 IAM 配置，但是用户仍可能无意中将不安全的配置引入 IAM 策略。敏锐地意识到这一点后，攻击者便利用配置错误的云资源并迅速锁定目标。如果您密切关注 Unit 42 云威胁研究，可能还记得不久前我们发布了一份关于 IAM 在构建云安全策略时的重要性的报告。IAM 再次占据了云安全领域的中心舞台但由于云采用率飙升，而且并无恢复到疫情前使用情况的计划，因此这一次的应用程度再攀新高。您会发现，这份报告是围绕 IAM 的“对象、内容和方式”以及云中的威胁行动者来组织结构的。这三个问题对于调查和理解如何在云环境中使用和定位身份至

4、关重要。通过提出“谁在攻击云基础架构？他们是如何开展攻击的？他们的目标是什么？”这几个问题，安全专业人士可以了解如何有效构建、监控和保护他们的云基础架构。当我们的云威胁研究人员自己探索这些问题时，他们不仅发现了过度宽松的 IAM 政策带来的严重问题（例如，近 99%的 IAM 政策过于宽松），还能够编译出业界首个云威胁行动者指数，该指数旨在作为一组将云基础架构视作攻击目标的对象的动态档案。请继续阅读，深入了解云威胁行动者攻击您的云基础架构所使用的步骤，以及您如何提供可行的指导来避免他们渗透到您的企业中。John MorelloPrisma Cloud 副总裁Palo Alto Networks

5、46%59%31%69%图 1：自 2020 年以来云工作负载量的百分比变化，其中蓝色代表 云工作负载量，绿色代表将一半以上的工作负载托管在云中的企业云威胁报告，第 6 卷 4定义：过度宽松的云身份如果授予的权限在过去60天内未使用，我们则认为云身份过于宽松。身份可以是人类用户或非人类用户，例如服务帐户。执行摘要错误配置仍然是导致大多数已知云安全事件的主要问题。但是，如果您仔细观察，很多时候，它是身份和访问管理(IAM)策略制定失误的结果。IAM 是管理云环境中每个资源的身份验证和授权的最关键和最复杂的组成部分。简而言之，IAM 是大多数云环境中的第一道防线。在这份报告中，Unit 42 研究

6、人员分析了 18,000 个云帐户和 200 多个不同企业的 680,000 多个身份，以了解他们的配置和使用模式。研究表明，几乎所有的云身份都过于宽松，并且许多都授予了从未使用过的权限。此外，53%的云帐户允许使用强度较弱的密码，44%允许重复使用密码。不幸的是，恶意攻击者似乎也知道这一点。Unit 42 研究人员创建了业界首个云威胁行动者指数，该指数绘制了攻击云基础架构的行动者组织执行的操作。重要的是，研究人员还发现每个云威胁行动者组织都以云 IAM 凭据为目标。总体而言，调查结果表明，当涉及到云中的 IAM 时，企业难以实施良好的治理，从而为恶意攻击者打开了更广泛地访问云环境的大门。云身

7、份过于宽松Unit 42 研究人员观察到所有云服务提供商(CSP)的环境中存在高比例的过度宽松身份。现实与最低特权原则之间存在很大差距。令人惊讶的是，99%的云用户、角色、服务和资源被授予了过多的权限，而这些权限未被使用。如果受到攻击，攻击者可能会利用这些未使用的权限横向或纵向移动并扩大攻击范围。删除这些权限可以显著降低每个云资源暴露的风险，并最大限度地缩小整个云环境的攻击面。最重要的是，可以在零成本和性能损失的情况下实现适当的权限策略。自定义云提供商 IAM 策略每个云服务提供商都提供了一组内置的权限策略，该策略可以快速应用于需要访问某些云资源的身份。然而，一刀切的解决方案也往往过于笼统，并

8、且会授予太多不必要的权限。我们的研究表明，内置 CSP 策略中未使用或过多的权限是客户创建的策略中的两倍。最低特权原则不鼓励管理员访问；但是，我们的研究表明，管理员策略是授予最多的三大托管策略之一。配置错误的 IAM 为云威胁行动者打开了大门大多数已知的云安全事件始于配置错误的 IAM 或泄露的凭据（例如，公开暴露的存储段和硬编码凭据）。我们的研究表明，65%的已知云安全事件是由于配置错误造成的。这些也是攻击者不断寻求利用的攻击载体。我们发现的所有云威胁行动者都试图在破坏服务器、容器或笔记本电脑时获取云凭据。具有过多权限的泄露凭据可能会给攻击者一个打开王国大门的钥匙。研究人员过去曾使用 CSP

9、 凭据识别出一个云威胁行动者，这表明他们的目标不仅仅是受感染的实例，而是针对云工作负载。云威胁行动者利用独特的升级技术在 Unit 42 的云威胁行动者列表中列出的五个云威胁行动者中，其中三个执行了特定于容器的操作，包括权限发现（用户和组级别）和容器资源发现操作。还有两个云威胁行动者也被记录为执行容器逃避操作。此外，他们五人都收集了云服务平台或容器平台凭据，作为其标准操作程序的一部分。通过收集 CSP 凭据，云威胁行动者将能够横向移动到云服务平台本身，从而使他们能够避开孤立的容器或云虚拟资源安全监控工具。只有具有适当配置的云原生应用保护平台(CNAPP)才能监控和修复这些云威胁行动者的操作。云

10、威胁报告，第 6 卷 51.“网络威胁信息共享指南”，NIST Special Publication 800-150，美国国家标准与技术研究所，2016 年 10 月，https:/csrc.nist.gov/publications/detail/sp/800-150/final。定义：云威胁行动者Unit42研究人员将云威胁行动者定义为“通过定向和持续访问其云平台资源、服务或其嵌入式元数据而对企业构成威胁的个人或组织”。谁在攻击云？什么是云威胁行动者？Unit 42 创建了业界首个云威胁行动者指数，旨在帮助安全运营团队、威胁搜寻专家、研究人员和情报专家跟踪以云基础架构为目标的威胁行动者。

11、云威胁行动者指数中包含的数据遵循 MITRE ATT&CK 云和容器矩阵，为安全专业人士提供了一个通用框架，人们可以围绕该框架交流和讨论这些威胁行动者采用的策略、技术和过程(TTP)。云威胁行动者指数还将使用 Unit 42 ATOM 服务为安全专业人士提供云威胁行动者使用的所有已知威胁指标(IOC)，这些指标以行业标准 STIX/taxi 格式打包。这种格式便于与云安全工具和平台集成。NIST 800-150 将威胁行动者定义为“构成威胁的个人或组织”。1 威胁行动者会危害位于企业实体位置内的系统和设备。但是，企业现在在云服务提供商(CSP)和云原生容器平台中托管相同的基础架构。这不仅改变了

12、企业集成和使用该基础架构的方式，而且还改变了威胁行动者试图破坏该基础架构的方式。向云中迁移会使保护虚拟化基础架构变得困难，因为每个云实例都具有直接公开访问的能力。因此，以这些云基础架构为目标的组织开发了专用 TTP。这样一来，Unit 42 观察到将这种新型威胁行动者归类为云威胁行动者至关重要。Unit 42 研究人员将云威胁行动者定义为“通过定向和持续访问其云平台资源、服务或其嵌入式元数据而对企业构成威胁的个人或组织”。研究人员发现，虽然云威胁行动者遵循与传统威胁行动者完全相同的杀伤链操作流程，例如执行侦察，然后发动初始入侵、建立持久性、横向移动、权限升级、规避和渗透，但云威胁行动者已经开始

13、采用一组从根本上有所不同的 TTP。例如，这些不同的 TTP 可以包括同时执行横向移动和权限升级操作的能力，这些操作是通过利用从受感染容器或虚拟机可访问元数据，或本地凭据文件中窃取的云服务提供商访问权限和密钥来实现的。由于 99%的 IAM 角色、组和帐户包含超出其预期目的的权限，再加上绝大多数攫取的访问权限和密钥都过于宽松，因此具有过度宽松访问权限的云威胁行动者可以直接修改、创建或删除云环境资源。云威胁行动者的能力近年来，云威胁行动者的成熟度和复杂程度均有所提高。他们已实现技术能力升级，不再只是访问暴露或配置错误的云存储容器或入侵暴露和易受攻击的基于云的应用（如 Redis、WebLogic

14、 和 ThinkPHP 虚拟机和容器）。云威胁行动者现在利用 Log4j 等接近零日的漏洞利用程序来获取敏感的云平台元数据，例如来自被感染云资源的 CSP 访问权限和密钥。在以下示例中，我们将介绍由云威胁行动者执行的两种以云为目标的独特操作，这两项操作突出显示了这些组织对云基础架构构成的不断发展的复杂性。云威胁报告，第 6 卷 6云目标访问密钥失窃123云 IAM 用户云 IAMVM 实例存储实例IaC 模板云平台日志记录事件4枚举的云资源图 2：TeamTNT 攫取凭据并枚举云资源的操作TeamTNT 将云平台和云原生应用作为攻击目标至少从 2020 年 8 月 17 日以来，TeamTNT

15、 一直是高度曝光的云威胁行动者，因为据相关人员的发现，它是“第一个利用加密挖矿蠕虫窃取 CSP 凭据”的威胁组织。2 在该组织最近的云枚举操作中，他们主动将云平台服务和资源作为攻击目标。2021 年 11 月 30 日，HildeGard 宣布他们打算结束其进攻性云操作；3 然而，直到 2022 年 4 月 1 日，他们仍在积极发布和转发评论，4 他们后续的大部分推文均围绕德国政治展开。在 28 个月的已知主动进攻行动中，TeamTNT 操作从在单个受感染计算实例中攫取 CSP 凭据发展为：维护 Docker 加密劫持蠕虫。5 建立用于命令和控制(C2)的强大 IRC 僵尸网络基础架构6。通过

16、 mimipy8 和 mimipenguin9 集成内存攫取。7 使用从受感染云实例窃取的凭据枚举云服务和资源10。TeamTNT 不断增长的业务最终导致创建了 Chimaera 存储库，其中包含一个跟踪功能，记录了受感染的 Docker、Kubernetes 和 Weave Scope 实例的总数。2021 年 9 月 8 日，记录在案的最高受感染实例的数量为 5,104 个。图 2 显示了 TeamTNT 行动者如何从受感染的云实例中攫取 CSP 和应用凭据。然后，威胁行动者可以使用这些凭据来访问云资源。2.“Team TNT 第一个窃取 AWS 凭据的加密挖矿蠕虫”，Cado Secur

17、ity，2020 年 8 月 16 日，https:/ 停手公告，Twitter，2021 年 11 月 6 日，https:/ 最后一则帖子，Twitter，2022 年 4 月 1 日，https:/ Sasson，“Cetus：以 Docker 守护进程为目标的加密劫持蠕虫”，Palo Alto Networks Unit 42，2020 年 8 月 27 日，https:/ Chen、Aviv Sasson 和 Ariel Zelivansky，“Hildegard：以 Kubernetes 为目标的全新 TeamTNT 加密劫持恶意软件”，Palo Alto Networks Uni

18、t 42，2021 年 2 月 3 日 https:/ Quist，“Black-T：来自 TeamTNT 的全新加密劫持变种”，Palo Alto Networks Unit 42，2020 年 10 月 5 日 https:/ 年 4 月 27 日，https:/ 年 6 月 26 日，https:/ Quist，“TeamTNT 主动枚举云环境以向企业中渗透”，Palo Alto Networks Unit 42，2021 年 6 月 4 日，https:/ 6 卷 7Log4j 易受攻击的系统云访问密钥123云 IAM 用户4枚举的云资源图 3：云威胁行动者利用 Log4j 攫取云凭据

19、并枚举云资源虽然 HildeGard 帐户在 Twitter 上非常活跃，但该威胁行动者不断嘲弄研究人员，并嘲笑几乎所有提及 TeamTNT 操作的报告。此外，另一个云威胁行动组织注意到了 TeamTNT 的成功，并通过修改其初始化脚本，甚至协同攻击 TeamTNT C2 主机来积极复制和模仿 TeamTNT 操作 TTP，以便更好地模仿他们的操作。TeamTNT 操作的成功进展突显了云威胁形势的不断扩大和深化，云安全运营团队以及云安全产品的警报和检测方法都必须解决这一问题。云威胁行动者使用 Log4j 攻击 CSP 凭据利用新型攻击载体一直是新威胁的可靠来源。然而，潜在的云威胁行动者利用近期

20、的 Log4j 漏洞需要特别留意。2021 年 12 月 9 日，工作人员发现 Apache Log4j 2 中的一个远程代码执行(RCE)漏洞被广泛利用。公开的概念验证(PoC)代码已发布，随后的调查显示该漏洞很容易被利用。报告出炉，指向开源 Go 语言工具 interactsh，该工具旨在检测导致外部交互的漏洞，收到了大量要求构建 Log4j 漏洞检测工具的请求。其中许多请求是恶意攻击者试图定位易受攻击的计算机系统的直接结果。早在 2021 年 12 月 10 日，就有报道称一个未知的云威胁行动者组织已将 Log4j 漏洞整合到他们的工具库中。Log4j 漏洞的使用还允许攻击者利用该漏洞的

21、检测规避能力，从而导致这些攻击的检测变得越发困难。这种防御规避和发现技术的使用还表明，云威胁行动者正在将 1 日漏洞利用 TTP 与横向移动和权限升级技术的 TTP 相结合，从而允许云威胁行动者组织在更大程度上利用云实例，同时表明正在将云 IAM 凭据的直接目标纳入云威胁行动者的操作中。图 3 重点展示了对 Log4j 的利用（第一步）。收集已识别的访问密钥（第二步），然后枚举分配给暴露的访问密钥的 IAM 策略所允许的云服务（第三步）。云威胁报告，第 6 卷 81-50500服务计数---35035

22、1--431权限数量图 4：AWS 服务按可用权限的数量分类。请注意，大多数 AWS 服务都有 1-50 个可以选择性授予的权限。IAM 在云威胁行动者操作中的作用使用窃取的 CSP 访问权限和密钥来主动收集和枚举云资源会给云平台的基于身份的资源带来风险。云平台内的身份用户、角色或组策略配置错误会显著增加企业云基础架构面临的威胁形势。由于 TeamTNT 和 Kinsing 以及其他未知团体对云服务平台的访问权限和密钥进行了主动收集和直接锁定，因此问题必然是寻找原因。以下基于证据的调查结果提供了一些途径，说明云威胁行动者将 CSP 访

23、问权限和密钥作为目标会如何对企业产生毁灭性的影响。身份：通往云基础架构的途径云服务提供商对每个云服务或资源的访问方式进行精细控制。每项服务可用的操作数量从 10 个以下到 500 个以上不等。平均来说，每个云服务可以选择性地向一个身份授予 50 种操作。虽然可以做到像云访问控制一样精细，但没有人可以完全掌握每个云服务中的所有操作。在具有数百或数千个工作负载的现代云原生环境中，与工作负载相关的每台机器（非人类）身份都会对云基础架构构成风险。随着混合和多云基础架构的采用，不同服务所需的凭据数量显著增加。扩展的安全边界使身份访问控制更加困难，也更加关键。云威胁报告，第 6 卷 91-50501001

24、50服务计数-----5501051权限数量146265--7501图 5：Azure 服务按可用权限的数量分类。请注意，大多数 Azure 服务都有 1-50 个可以选择性授予的权限。基于证据的发现99%的云身份过于宽松如果授予的权限在过去 60 天内未使用，我们则认为云身份过于宽松。在我们研究的 680,000 个云用户、角色和服务帐户中，只有 1%的身份被授予了最低权限（即不会过于宽松）。62%的企业公开暴露了云资

25、源对于公开暴露的云资源，互联网中的所有人都可以在无需身份验证的情况下进行访问。附加到云资源（例如存储段和函数）的 IAM 策略规定了谁可以访问资源，以及可以对资源执行哪些操作。云存储泄露数据的情况通常是由于错误配置的 IAM 策略导致的，该策略允许每个人访问数据。有一些合法的用例（例如 Web 内容托管）需要公开，但许多资源也是在无意中公开的。任何知道端点（通常是 URL）的人都可以访问这些公开的资源。攻击者可能会从暴露的存储桶或数据库中读取机密数据，并将恶意有效负载插入到暴露的函数或队列中。CSP 托管策略获得的权限是客户托管策略所获权限的 2.5 倍每个云服务提供商都提供了一组内置的权限策

26、略，该策略可以快速应用于需要访问某些云资源的身份。这些托管策略可帮助用户快速引导云原生应用，而无需处理运行工作负载所需的数百个权限。使用 Prisma Cloud 的内部数据进行的研究表明，不同 CSP 的用户使用的 CSP 托管策略多于客户托管策略。但是，为了适应不同应用和用户的需求，这些策略中的权限需要很宽。即使用户只需要 10 个权限，托管策略也可以向用户授予 100 个权限。这些过多的权限会给云环境带来不必要的风险。如图 6 所示，AWS 环境中 43%的 IAM 策略是由 AWS 托管的内置策略，而 Azure 环境中 87%的策略是由 Azure 托管的内置 IAM 角色。这些结果

27、表明，CSP 托管的策略是大多数云用户的首选。云威胁报告，第 6 卷 10AWS_MANAGED43.0%25.7%内联31.3%CUSTOMER_MANAGEDAWS 策略使用CUSTOM_ROLE13.1%Azure 策略使用86.9%BUILT_IN_ROLE图 6：授予的策略类型的细分情况图 7 显示了不同类型的权限策略授予的平均权限数。AWS_MANAGED_POLICY 和 AZURE_BUILT_IN_ROLE 是 AWS 和 Azure 的 CSP 托管策略。AWS_CUSTOMER_MANAGED_POLICY、AWS_INLINE_POLICY 和 AZURE_CUSTOM

28、_ROLE 都是由用户创建和管理的策略。我们的数据显示，平均而言，CSP 托管策略授予的权限是客户托管策略的 2.5 倍。请注意，CSP 为用户提供了减少 CSP 托管策略权限的选项，但许多用户没有充分利用这个机会来改善他们的安全状况。CSP managed policies(AWS_MANAGED_POLICY and AZURE_BUILT_IN_ROLE)grant 2.5 times more permissions than customer-managed policiesAWS_CUSTOMER_MANAGED_POLICY50002500权限计数0491策

29、略类型AWS_INLINE_POLICYAWS_MANAGED_POLICY634232023181317AZURE_BUILT_IN_ROLEAZURE_CUSTOM_ROLE图 7：每种策略类型授予的平均权限数。CSP 托管策略（AWS_MANAGED_POLICY 和 AZURE_BUILT_IN_ROLE）授予的权限是客户托管策略的 2.5 倍。云威胁报告，第 6 卷 11图 8 显示了在过去 60 天内实际使用的授予权限的百分比。我们比较了不同策略类型之间的这一百分比或使用率。我们的数据显示，CSP 托管策略的使用率是客户托管策略使用率的 43%。The percentage of

30、the used permissions in CSP-managed policies are 2.3 times lower than customer-managed policies1%2%3%4%权限使用率0%1.7%策略类型3.8%232023181.77%.68%.83%AWS_CUSTOMER_MANAGED_POLICYAWS_INLINE_POLICYAWS_MANAGED_POLICYAZURE_BUILT_IN_ROLEAZURE_CUSTOM_ROLE图 8：每种策略类型的权限使用率。CSP 托管策略中使用的权限百分比是客户托管策略中的 43%。表 1：前 5 个最常

31、用的 CSP 托管策略AWSAzureReadOnlyAccess贡献者AWSLambdaVPCAccessExecutionRole所有者AdministratorAccess存储 Blob 数据贡献者AWSSupportAccess账单阅读者AWSConfigRulesExecutionRole虚拟机贡献者从表 1 中可以看出，AWS 的 AdministratorAccess 策略和 Azure 的所有者角色是每个 CSP 中最常用的两个策略。遗憾的是，这两个策略还授予了对附加身份的完全访问权限。具有 AdministratorAccess 或所有者角色的身份被授予对每个云服务和资源的所

32、有权限。客户应谨慎授予这些策略，并且只有最少数量的身份应具有此类特权。AWS AdministratorAccess 策略Azure 所有者角色云威胁报告，第 6 卷 12大多数云帐户(53%)允许使用强度较弱的 IAM 密码（14 个字符），44%的帐户允许重复使用 IAM 密码强度较弱的密码容易受到暴力破解或凭据填充攻击。云管理员应实施策略以防止用户创建强度较弱的密码或重复使用旧密码。最好不要在云环境中设置永久凭据，例如密码和访问密钥。如果这些凭据意外泄露，攻击者可以直接访问敏感资源。使用联合身份或单点登录来减少用户名/密码的数量更安全。云威胁行动者矩阵研究人员制作了五个云威胁行动者的列表

33、，这些云威胁行动者的 TTP 与云服务平台的直接目标一致，如此一来，这些云威胁行动者便可绕过传统的安全防御。定义云威胁行动者使用的 TTP 将允许企业评估其针对以云为目标的威胁行动者的战略防御，并将提供必要的指标来构建监控、检测、警报和防御机制以保护其云原生基础架构。在下表中，您将找到每个云威胁行动者组织使用的特定云和容器 TTP。图例：TeamTNTTeamTNT 是已知的首个主动攻击受感染云工作负载中的云凭据文件的云威胁行动者。他们的操作包括枚举云平台服务，在 Kubernetes 集群内横向移动，建立 IRC 僵尸网络以及劫持被入侵的云工作负载资源以挖掘门罗(XMR)加密货币。关键要点：

34、就云身份枚举技术而言，TeamTNT 被认为是最复杂的云威胁行动者。表 2：TeamTNT 云威胁行动者 TTP初始访问执行持久性权限升级防御规避凭据访问发现横向移动T1078-有效的帐户T1610-部署容器T1078-有效帐户T1078-有效帐户T1078-有效帐户T1110-暴力破解T1046-网络服务扫描T1550-使用备用身份验证材料T1078.001-有效 帐户：默认帐户T1078.001-有效 帐户：默认帐户T1078.001-有效 帐户：默认帐户T1078.001-有效 帐户：默认帐户T1528-窃取应用 访问令牌T1049-系统网络 连接发现T1550.001-使用备用身份验证

35、材料：应用访问令牌T1078.003-有效帐户：本地帐户T1078.003-有效帐户：本地帐户T1078.003-有效帐户：本地帐户T1078.003-有效帐户：本地帐户T1552-未受保护的凭据T1069.003-权限组发现：云组T1078.004-有效帐户：云帐户T1078.004-有效帐户：云帐户T1078.004-有效帐户：云帐户T1078.004-有效帐户：云帐户T1552.001-未受保护的凭据：文件中的凭据T1082-系统信息发现T1136-创建帐户T1611-逃入主机T1550-使用备用身份验证材料T1552.003-未受保护的凭据：Bash 历史记录T1087-帐户发现T15

36、50.001-使用备用身份验证材料：应用访问令牌T1552.004-未受保护的凭据：私钥T1087.001-帐户发现：本地帐户云特定 TTP云凭据使用/发现 TTP容器特定 TTP容器逃逸/资源特定 TTP云威胁报告，第 6 卷 13表 2：TeamTNT 云威胁行动者 TTP（续）初始访问执行持久性权限升级防御规避凭据访问发现横向移动T1562-削弱防御T1552.005-未受保护的凭据：云实例元数据 APIT1087.004-帐户发现：云帐户T1562.001-削弱 防御：禁用或修改工具T1552.007-未受保护的凭据：容器 APIT1518-软件发现T1562.003-削弱防御：损害命

37、令历史记录T1562.003-削弱防御：损害命令历史记录T1518.001-软件发现：安全软件发现T1562.004-削弱防御：禁用或修改系统防火墙T1526-云服务发现T1562.007-削弱防御：禁用或修改云防火墙T1580-云基础架构发现T1562.008-削弱防御：禁用云日志T1613-容器和资源发现T1610-部署容器T1619-云存储对象发现WatchDogWatchDog 是一个以云为中心的威胁组织，具有加密劫持操作和云服务平台凭据攫取的历史。他们最早于 2019 年 1 月 27 日展开攻击。他们使用各种自定义构建的 Go 脚本以及来自其他组织（包括 TeamTNT）的改造过的

38、加密劫持脚本。他们目前被认为是以暴露的云实例和应用为目标的机会主义威胁组织。关键要点：窃取软件。技术娴熟的编码员；但是，他们愿意牺牲技能来获得便利的访问权限。表 3：WatchDog 云威胁行动者 TTP执行权限升级防御规避凭据访问发现T1610-部署容器T1611-逃入主机T1562-削弱防御T1528-窃取应用访问令牌T1046-网络服务扫描T1562.001-削弱防御：禁用或修改工具T1552-未受保护的凭据T1518-软件发现T1562.003-削弱防御：损害命令历史记录T1552.001-未受保护的 凭据：文件中的凭据T1518.001-软件发现：安全软件发现T1562.004-削弱

39、防御：禁用或修改系统防火墙T1552.003-未受保护的凭据：Bash 历史记录T1613-容器和资源发现T1562.007-削弱防御：禁用或修改云防火墙T1552.004-未受保护的凭据：私钥T1562.008-削弱防御：禁用云日志T1552.005-未受保护的凭据：云实例元数据 APIT1610-部署容器T1552.007-未受保护的凭据：容器 API云威胁报告，第 6 卷 14Kinsing一种云威胁行动者，使用名称 Kinsing 作为一系列加密货币挖矿恶意软件和支持初始化文件的目录位置。该组织使用在 Ubuntu 容器上运行的基于 GoLang 的恶意进程攻击暴露的 Docker 守

40、护程序 API，并已开始将其攻击扩展到 Docker 容器之外，专门以受感染云工作负载中包含的容器和云凭据文件为目标。关键要点：机会主义的云威胁行动者，具有收集云凭据的巨大潜力，但只是为了金钱。表 4：Kinsing 云威胁行动者 TTP初始访问执行持久性权限升级防御规避凭据访问发现T1078-有效帐户T1610-部署容器T1078-有效帐户T1078-有效帐户T1078-有效帐户T1528-窃取应用访问令牌T1613-容器和资源发现T1078.003-有效帐户：本地帐户T1078.003-有效帐户：本地帐户T1078.003-有效帐户：本地帐户T1078.003-有效帐户：本地帐户T1552

41、-未受保护的 凭据T1078.004-有效帐户：云帐户T1078.004-有效帐户：云帐户T1078.004-有效帐户：云帐户T1078.004-有效帐户：云帐户T1552.001-未受保护的凭据：文件中的凭据T1610-部署容器T1552.004-未受保护的凭据：私钥RockeRocke 组织是一个云威胁行动者，专门从事在云环境中发动勒索软件和加密劫持攻击。该组织以使用受感染的基于 Linux 的系统的计算能力而闻名，这些系统通常托管在云基础架构中。Rocke 最初于 2016 年被发现，被命名为 Iron Group，他们主要使用 Iron 勒索软件工具集和后门恶意软件 IronSteal

42、er 发动勒索软件攻击。2018 年 5 月，他们通过使用 XBash 工具集开发了僵尸网络功能。2018 年 8 月，他们通过添加从受感染的云系统中禁用和删除云安全工具的功能，再次改进了攻击方式。2019 年 2 月，他们在剧本中添加了一个新工具，该工具支持代理、Shell 和 Lua 脚本功能。据报道，在 2019 年 8 月，他们已经入侵了 28.1%的拥有云基础架构的企业。关键要点：黑客界的老前辈，正在缓慢提升云端点枚举技术，但还没有深入到容器。表 5：Rocke 云威胁行动者 TTP初始访问持久性权限升级防御规避凭据访问发现横向移动T1078-有效帐户T1078-有效帐户T1078-

43、有效帐户T1078-有效帐户T1110-暴力破解T1046-网络服务扫描T1550-使用备用身份验证材料T1078.001-有效帐户：默认帐户T1078.001-有效帐户：默认帐户T1078.001-有效帐户：默认帐户T1078.003-有效帐户：本地帐户T1552-未受保护的凭据T1087-帐户发现T1550.001-使用备用身份验证材料：应用访问令牌T1078.003-有效帐户：本地帐户T1078.003-有效帐户：本地帐户T1078.003-有效帐户：本地帐户T1078.003-有效帐户：本地帐户T1552.001-未受保护的凭据：文件中的凭据T1087.001-帐户发现：本地帐户T10

44、78.004-有效帐户：云帐户T1078.004-有效帐户：云帐户T1078.004-有效帐户：云帐户T1078.004-有效帐户：云帐户T1552.003-未受保护的凭据：Bash 历史记录T1087.004-帐户发现：云帐户云威胁报告，第 6 卷 15表 5：Rocke 云威胁行动者 TTP（续）初始访问持久性权限升级防御规避凭据访问发现横向移动T1136-创建帐户T1550-使用备用身份验证材料T1552.004-未受保护的凭据：私钥T1518-软件发现T1550.001-使用备用身份验证材料：应用访问令牌T1552.005-未受保护的凭据：云实例元数据 APIT1518.001-软件发

45、现：安全软件发现T1562-削弱防御T1552.007-未受保护的凭据：容器 APIT1562.001-削弱防御：禁用或修改工具T1562.003-削弱防御：损害命令历史记录T1562.004-削弱防御：禁用或修改系统防火墙T1562.007-削弱防御：禁用或修改云防火墙T1562.008-削弱防御：禁用云日志82208220 是一个以云为中心的威胁组织，至少从 2017 年就开始活跃。在他们的攻击过程中，常用的工具是 PwnRig 或 DBUsed，它们是 XMRig Monero 挖矿软件的自定义变种。8220 挖矿组织被认为起源于 Rocke 组织软件的 GitHub 分支。从 2021

46、 年 12 月开始，8220 通过疑似利用 Log4j 漏洞来使用云服务平台凭据攫取提升其挖矿攻击能力。关键要点：老前辈(Rocke)的表弟，将容器纳入其攻击目标集；努力地从停手状态中快速恢复过来。表 6：8220 云威胁行动者 TTP初始访问执行持久性权限升级防御规避凭据访问发现T1078.003-有效帐户：本地帐户T1610-部署容器T1078.003-有效帐户：本地帐户T1078.003-有效帐户：本地帐户T1518-软件发现T1110-暴力破解T1087.001-帐户发现：本地帐户T1136-创建帐户T1562.001-削弱防御：禁用或修改工具T1552-未受保护的 凭据T1087.0

47、04-帐户发现：云帐户T1610-部署容器T1552.001-未受保护的凭据：文件中的凭据T1518.001-软件发现：安全软件发现T1552.003-未受保护的凭据：Bash 历史记录云威胁报告，第 6 卷 16表 6：8220 云威胁行动者 TTP（续）初始访问执行持久性权限升级防御规避凭据访问发现T1552.004-未受保护的凭据：私钥T1552.005-未受保护的凭据：云实例元数据 APIT1552.007-未受保护的凭据：容器 API云威胁行动者组织使用特定于云的 TTP 来实现他们的进攻目标。上面列出的每个表格都突出显示了特定于云或容器平台的特定 TTP。带有红色背景的 TTP 表

48、示特定于云平台的 TTP，而带有绿色背景的 TTP 表示特定于容器平台的 TTP。此外，红色字体的 TTP 表示与可能导致更广泛的云攻击危害的攻击等同的 TTP，包括访问密钥发现、容器逃逸操作和增加的权限。从上面的每个云威胁行动者表中可以看出，这些关键指标标志着云威胁行动者操作的决定性因素。直接以基于云的凭据和容器主机操纵策略为目标，可以让这些组织在受感染企业的云基础架构中初步站稳脚跟。潜在的云威胁行动者的未来发展鉴于最近与俄罗斯和乌克兰相关的网络活动，需要注意的是，俄罗斯民族国家的攻击者历来都是使用云基础架构来托管恶意内容以发动进攻性行动的。还有证据表明，这些组织专门以云基础架构作为攻击目标

49、。以下三个示例重点介绍了俄罗斯是如何利用云基础架构或将其作为攻击目标的。高级持久性威胁(APT)始终采用从受感染系统中窃取合法凭据的方法，云环境也不例外。APT 28(Fancy Bear)使用 Kubernetes 基础架构执行暴力破解攻击。APT 29(Cozy Bear)2020 年 12 月的 SolarWinds 攻击最初使用 SolarStorm 漏洞利用操作，并且已与 APT 29（又称为 Cozy Bear 或 Nobelium）相关联。APT 29 行动者通过将后门代码注入已签名的 SolarWinds Orion 热修补程序中，能够入侵至少 140 家企业。然后，不知道有后

50、门代码的企业下载并安装了此热修补程序。虽然人们不会将 SolarWinds Orion 平台视为云应用，但有可用的合法云容器映像，允许企业在动态云环境中构建应用。此应用的定位为 APT 组织的云定位操作提供了一种新方法。APT 41(Gadolinium)在操作期间使用 Microsoft 的 Azure 云平台托管命令和控制资源。使用 Azure 等合法平台来托管恶意资源可以让 APT 组织的恶意基础架构看起来更符合法律要求。如果受感染的企业发现他们的 Azure 虚拟机与另一个 Azure 资源通信，他们会将这些通信模式视为合法通信，即使检测到恶意操作并生成警报也是如此。此外，对于安全专业

51、人士和研究人员来说，持续监控云环境以攫取 CSP 访问权限和受感染容器或云工作负载中的异常访问活动至关重要；研究人员发现，在窃取访问密钥后，云威胁行动者会尝试使用这些密钥在云平台中执行恶意活动。云威胁报告，第 6 卷 17结论和建议正如我们在本报告中概述的那样，身份和访问管理控制着云基础架构的安全性，有助于保护企业免受云威胁行动者的攻击。正确配置的 IAM 可以阻止意外访问，提供对云活动的可视性，并降低安全事件发生时的影响。然而，由于 IAM 的动态性和复杂性，将 IAM 维持在最安全的状态是一项挑战。从历史上看，IAM 错误配置一直是网络犯罪分子最常利用的切入点和支点。为了帮助抵御云环境中的

52、云威胁行动者，企业应考虑激活以下策略：1.CNAPP 套件集成在统一平台内监控安全事件并发出警告（包括在运行时为应用提供支持），同时将安全性集成到开发工作流中，这对于确保全面的安全性至关重要。根据 Gartner 的调查：11“云原生应用保护平台(CNAPP)是一组集成的安全和合规功能，旨在于开发和生产过程中帮助保护云原生应用。CNAPP 整合了许多以前孤立的功能，包括：a.开发工件扫描，包括容器 b.云安全态势管理 c.IaC 扫描 d.云基础架构权限管理 e.运行时云工作负载保护平台”鉴于云威胁行动者可以通过破坏云工作负载获得的访问级别，云威胁行动者可以通过访问云平台本身成功规避一组孤立的

53、云安全功能，例如云工作负载保护(CWP)监控和检测机制。仅使用 CWP 的企业无法检测到云平台级别的可审核事件，而使用云安全态势管理(CSPM)可以检测到这些事件。同样，如果一个企业只使用 CSPM，他们将无法检测到发生在各个工作负载上的事件。只有在 CNAPP 中使用一整套工具，才能检测到云威胁行动者将其访问权限直接从受感染的云实例转移到 CSP 平台本身。研究人员建议使用 CNAPP 工具套件，该套件包括 CSPM 工具和 CWP 工具，以监控容器和 CSP 控制台操作。2.专注于强化 IAM 权限在云环境中允许过于宽松的 IAM 身份会使企业面临不必要的巨大风险。阅读以下八个最佳实践，保

54、护您的云基础架构中的 IAM：a.尽量减少管理员凭据的使用。管理员凭据的授予或使用频率越低，就越不容易受到危害。b.尽量减少长期凭据的使用，例如用户密码、访问密钥和服务帐户密钥。c.对修改数据库删除、快照删除和加密密钥更新等业务关键型资源的权限实施多因素身份验证(MFA)。d.配置强大的密码策略。美国国家标准与技术研究所(NIST)建议最小长度为 8 个字符，并且不用考虑字符组成规则，因为这样会给用户带来麻烦。e.使用联合身份管理(FIM)集中管理访问控制。f.仅授予每个身份其工作所需的权限（最低权限原则）。使用 AirIAM 和云基础架构权限管理(CIEM)等工具持续审核您的云环境中的所有身

55、份。11.Neil MacDonald、Charlie Winckless，用于云原生应用保护平台的 Gartner Innovation Insight，2021 年 8 月 25 日，https:/ 6 卷 18g.监视 IAM 活动。所有主要 CSP 都有用于监视 IAM 使用情况的服务。这些服务有助于识别异常活动，如暴力破解攻击和来自未识别设备或位置的日志记录。h.自动修复过度的权限。不应手动进行权限审核，因为云环境中的工作负载变化迅速且频繁。3.提高安全自动化 在 Palo Alto Networks 的2022 年云原生安全现状报告中，研究表明，安全自动化程度高的企业拥有强大安全态

56、势的可能性是其他企业的两倍。随着云采用率不断上升，安全团队必须能够应对大规模的云漏洞。通过尽可能地引入自动化，可以大幅减少解决安全问题时通常涉及的手动步骤。此外，安全团队可以更快地解决更多安全风险，无论是在开发和运行时阶段，还是在二者之间的任何阶段。准备好识别云中的威胁了吗？Prisma Cloud 每月分析超过 100 亿个事件。通过主动检测安全性与合规性的错误配置并触发自动化工作流响应，Prisma Cloud 有助于确保您持续且安全地满足动态云架构的需求。要开始使用 Prisma Cloud，请立即申请免费试用。方法在 2022 年 1 月至 2022 年 3 月期间，Unit 42 研

57、究人员监控并分析了一组 Prisma Cloud 客户的 IAM 配置和使用活动。这些数据包含 200 多个不同企业的 18,000 个云帐户中的 680,000 个身份，用于评估 IAM 安全的当前状态。使用云基础架构权限管理平台中的独特功能，研究人员可以计算每个云身份的有效权限，查看每个权限的使用历史，并识别权限策略中的错误配置。通过查看每个有效权限的使用历史，我们可以了解每个权限在每个身份中是如何使用的。本报告中的所有指标都是通过汇总数百个不同企业的 IAM 配置和身份日志得出的。研究人员还研究了数百个云恶意软件样本，这些样本详细说明了云威胁行动者在多个攻击性操作和多个工具集中的操作。研

58、究人员使用 Palo Alto Networks 产品协助收集和分析每个云威胁行动者的恶意样本并收集其元数据。Palo Alto Networks Prisma CloudPrisma Cloud 趋势数据利用多种威胁情报源。Unit 42 研究人员使用专有数据源收集企业警报和事件数据。对这些数据进行匿名化，然后进行分析并与之前的云威胁报告分析结果进行比较，以生成趋势信息。Palo Alto Networks WildFire基于云的 WildFire 恶意软件防御服务采用独特的多技术方法，结合动态和静态分析、创新的机器学习技术以及突破性的裸机分析环境，因此，即使是应对最隐蔽的威胁，也能成功检

59、测并加以预防。Palo Alto Networks AutoFocusAutoFocus 结合情境的威胁情报服务提供所需的各类情报、分析和情境，帮助判断哪些攻击需要立即响应，还能够根据指标采取操作并防范以后的攻击。关于Prisma CloudPrisma Cloud 是一个全面的云原生安全平台，在整个开发生命周期以及跨混合云和多云部署期间，为应用、数据和整个云原生技术堆栈提供了业界最广泛的安全性和合规性覆盖。Prisma Cloud 集成方法使安全运营和 DevOps 团队保持敏捷性，有效协作，并安全加速云原生应用开发和部署。Prisma Cloud 的云基础架构权限管理(CIEM)模块为用户

60、提供对有效权限的广泛可视性，持续监控多云环境中是否存在有风险和未使用的权限，并自动提出最低特权建议。用户可以通过简单而强大的功能洞察每个角色（包括与 IdP 提供商关联的角色）的净有效权限，这些角色均无缝集成到 Prisma Cloud。Unit 42Unit 42 将世界知名的威胁研究人员与精英安全顾问团队聚集在一起，打造出以情报为导向、随时准备响应的企业。Unit 42 威胁情报团队提供威胁研究，使安全团队能够了解攻击者的意图和归因，同时加强我们的产品和服务提供的保护，以阻止高级攻击。随着威胁升级，Unit 42 可为客户提供最新风险建议，评估其准备情况，并在最坏情况发生时帮助他们恢复。U

61、nit 42 安全咨询团队是一个值得信赖的合作伙伴，拥有最先进的网络风险专业知识和事件响应能力，帮助客户在泄露之前、期间和之后专注于其业务。作者Jay Chen，Palo Alto Networks，公有云安全部门，首席研究员 Nathaniel Quist，Palo Alto Networks，公有云安全部门，首席研究员贡献者如果没有 Palo Alto Networks 整个团队所付出的巨大努力，这份报告是不可能完成的。以下人员对报告的创建提供了极大的帮助。编辑Aimee Savran Erica Naone Grace Cheung Kelly Kane数据验证Bar Schwartz Prisma Cloud IAM 整个团队威胁情报验证Unit 42 ARES 团队初始云威胁报告愿景Matthew Chiodi 2022 Palo Alto Networks,Inc.Palo Alto Networks 是 Palo Alto Networks 的注册商标。本公司的商标列表可在以下网址找到：https:/ 9911 194 网址： 邮箱：contact_salesAPAC