避免雲端主機淪為跳板收到公有雲鉅額帳單

2024/12/23

本文將以雲端主機最常發生的事件(被當成 DDoS 跳板機),探究其發生原因,以及如何透過了解雲端參數調教來防範此類攻擊。


隨著雲端運算的普及,企業將越來越多的業務遷移至雲端環境。然而,雲端環境並非萬無一失,仍存在著各種資安威脅,在雲端分享式安全責任中,雲端用戶應負的安全責任更是常被忽略的,導致雲端資安事件層出不窮。其中,雲端主機被駭客利用作為 DDoS 攻擊的跳板機,導致雲帳單刷爆,是常見且最有感的雲資安事件之一。

案例背景 

在某企業的雲端主機上,因未能妥善配置安全設置,導致其主機被駭客利用,成為 DDoS 攻擊的跳板。攻擊者透過該主機發起大規模的流量攻擊,目標是其他企業的伺服器。此案例客戶的雲環境沒有定期檢視雲環境的配置,也沒有監控機制,在被利用成跳板的攻擊期間產生超額流量而不自知,而雲端是根據流量計費,此案例客戶在收到鉅額帳單時已經太遲了。

事件分析過程 

通常每月初客戶都會定期收到雲端對帳單,卻發現帳單金額比平時超出甚多,檢視對帳單明細,發現流量費是主要超額帳單的原因,覺得不合理,立即與雲服務廠商聯繫,表達對帳單的疑慮並請求展開調查。 由於客戶環境並沒有啟用監控和日誌,雲資安架構師無從查找與分析,因此先從檢視雲環境的配置設定開始進行,檢視過程中發現網路存取規則有一條是對外可被公開存取(Public Accessible),且該異常網路存取規則是套用在資料庫主機上,初步判斷資料庫主機應不需要對外可被公開存取,同時也檢視客戶雲端環境即時流量,確認大量對外流量都是來至於該資料庫主機。至於為什麼會有這一條對外可被公開存取且套用在資料庫主機上,客戶表示可能是因為之前為了測試 PoC 所建立的。

在和客戶確認後,立即關閉這條存取規則,當下,對外大量流量立即大幅減少,為了找出根本原因,雲資安架構師進入資料庫主機了解其系統使用與設定,發現資料庫為了提升效能使用 Memcached(Memcached 是用於加速網站和網路的資料庫快取系統),但 Memcached 存在 UDP 協定漏洞,易遭惡意人士使用放大攻擊,使資料庫主機去對外部進行 UDP 洪水 DDoS 攻擊(Flood DDoS),產生傳送大量網際網路流量的行為,因此建議客戶如果不需要,請務必停用 UDP 端口。

DDoS攻擊原理 

DDoS(Distributed Denial of Service)攻擊是一種透過大量流量癱瘓目標伺服器或網路的攻擊手法。攻擊者通常會控制大量的機器(如殭屍電腦)向目標發送大量請求,使其無法正常回應合法用戶的請求,進而導致服務中斷。 

DDoS 攻擊可分為以下幾種類型: 

- 流量型 DDoS 攻擊: 透過大量的流量淹沒目標,使其無法處理。 

- 協議型 DDoS 攻擊: 利用協議漏洞發送畸形數據包,消耗目標的資源。 

- 應用層 DDoS 攻擊: 針對特定應用程式發起攻擊,例如 HTTP Flood、SQL Injection 等。 此案例的 DDoS 攻擊類型屬於流量型 DDoS 攻擊,這類型攻擊通常會伴隨傳送大量流量,這對以流量計費的雲端帳單是很傷荷包的。 


雲端主機成為 DDoS 跳板機的原因

雲端主機之所以容易成為 DDoS 攻擊的跳板機,主要有以下幾個原因:

- 配置不當:雲端主機的初始配置未加強安全性,例如開放不必要的端口、過於寬鬆的網路存取控制和使用弱密碼等,很容易被成為資安破口。 

- 漏洞未修補: 雲端主機的操作系統、應用程式若存在漏洞,駭客可利用這些漏洞取得控制權。 

- 缺乏監控: 若未對雲端環境進行持續監控,無法即時發現異常活動和威脅事件,事實上,很多資安威脅與資料外洩事件是無感。

- 帳號被盜用: 駭客可能透過釣魚攻擊等手法盜取用戶的帳號與憑證,而帳號認證又沒有 MFA(多重身份驗證),很容易被控制雲端主機。 此案例中,客戶雲端環境有兩個因素導致,一是配置不當,網路存取控制設定對外可被公開存取和沒有停用不必要 UDP 端口,二是缺乏監控,即使因配置不當被利用成為 DDoS 跳板機,如果有監控偵測機制,也能立即知道資料庫主機有傳送大量網際網路流量的行為,不用等到收到鉅額帳單才發現。 


列舉幾個 AWS 常見配置錯誤(Misconfiguration)的具體設定

- AWS Securiyt Group 規則設定 

來源位置為「0.0.0.0」存取你的 ssh 端口,這代表外部任何人都可以遠端登入你的雲端主機。(見圖一)


圖一,AWS Security Group 規則設定



- S3 存取權為公有(Public Access) 

S3 為雲端物件儲存(Object Storage)服務,其存取權常被設定成公有(Block all public access 為 off),表示外部任何人都可以存取 S3 的資料,是常見的雲端資料外洩原因。(見圖二)


圖二,S3 存取權為公有



- IAM 使用者權限過大

 AWS IAM 權限政策(Permissions Policies)很細緻又很多,最佳實踐是讓雲端用戶僅被賦予必要的權限政策,但實際上是 IAM 使用者常被賦予管理者權限(AdministratorAccess)。(見圖三)


圖三,IAM 使用者權限過大



- EBS 儲存(Volume)未啟用加密 

在建立 EBS 儲存過程中,直接採用預設值,導致存放在 EBS 的資料是沒有被加密保護的。(見圖四)


圖四,EBS 儲存(Volume)未啟用加密



- IAM 帳號未啟用多重身份驗證(MFA) 

建立 IAM 帳號過程中,忽略啟用多重身份驗證,只有單一密碼驗證保護,很容易遭遇到帳號被盜用。(見圖五)


圖五,IAM 帳號未啟用多重身份驗證



CloudTrail 稽核日誌未啟用或是被停用 稽核日誌沒有啟用或被停用,表示雲端上的任何活動是沒有被記錄的,是無法發現雲端上異常活動和威脅事件。(見圖六)


圖六,CloudTrail 稽核日誌未啟用或是被停用



雲端主機成為 DDoS 跳板機的防護措施 

要如何避免雲端主機成為 DDoS 跳板機呢? 根據 Gartner 報告,到 2025 年 90% 以上的雲端安全事件都是人為的疏忽或錯誤導致。人為的疏忽或錯誤會導致配置不當,就是我們常聽到的 Misconfiguration,其實雲端和地端類似,要進行定期的安全配置檢查和持續性的監控,主要有以下幾個層面: 

- 加強身份驗證: 採用多因素驗證(MFA)等強大的身份驗證機制,防止雲端帳號被盜用。 

- 帳號權限訪問控制:根據最小權限原則,限制用戶對雲端資源的訪問權限。 

- 網路存取控制原則:採最小原則,只允許合法使用者存取雲端服務,並禁止未經授權的訪問。 

- 定期雲端資安健診:以最佳實務(CIS/Best Practices) 來檢測雲環境安全狀態。 

- 持續雲端資安監控: 對雲端環境進行 24/7 SOC 資安監控,即時偵測發現風險與異常事件。 


結語

雲端主機被當成 DDoS 跳板機是雲端資安最有感的資安事件,因為直接讓客戶的雲帳單爆量。攻擊者會利用雲端常見的配置錯誤來找出可被利用的雲端主機作為 DDoS 跳板機,企業應透過加強安全管控措施、定期檢視和持續性監控有效降低被攻擊的風險,保護自身的業務和客戶的信任,還有就是自己的荷包(費用)。

文章來源:CIO Taiwan , https://www.cio.com.tw/avoid-cloud-server-abuse-and-huge-bill/

其他動態