V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
al0ne
V2EX  ›  分享发现

cloud-audit 公有云 AK/SK 盗用检测工具

  •  
  •   al0ne · 171 天前 · 515 次点击
    这是一个创建于 171 天前的主题,其中的信息可能已经有所发展或是发生改变。

    项目地址: https://github.com/al0ne/cloud-audit

    cloud-audit (云安全审计助手)是检测公有云厂商 AK/SK 泄漏被利用的工具,通过定期调用云平台接口审计日志,基于异常行为/黑特征/基线发现疑似入侵行为。

    特性

    • 支持检测腾讯云平台 AK/SK 利用告警(异常行为)
      • 调用 AK/SK 创建命令/执行命令监控
      • 调用 AK/SK 添加子账户/删除子账户监控
      • 调用 AK/SK 跨 region 列 DB
      • 调用 AK/SK 跨 region 列实例
    • 支持检测 AWS 云平台 AK/SK 利用告警(基线检测)
      • 调用 AK/SK 创建用户监控
      • 调用 AK/SK 列用户监控
      • 调用 AK/SK 列 S3 监控
      • 调用 AK/SK 列 DB 监控
      • 调用 AK/SK 提权监控
    • 支持企业微信/Discord 告警通知

    检测逻辑

    云平台利用检测逻辑

    在使用一些针对云平台利用工具时,这类工具通常的动作会包括扫描所有 region 下是否存在 RDS 实例,所有 region 下是否存在 ECS 实例或者容器等,创建/删除子账号,执行命令等。这些动作本身就属于比较敏感的操作,所以通过各个云平台的日志接口来获取这些动作。

    还有一种则是根据来自非可信网段的敏感操作,正常都是 IDC 内网调用或者 IDC 出口 IP 调用,如果非企业可信网段出现 AK/SK 调用并且为高危操作则直接告警。

    常见比较敏感的关键操作例如:

    • CreateUser
    • ListUsers
    • ListBuckets
    • DescribeInstances
    • DescribeDBInstances
    • AttachUserPolicy
    • RunCommand/CreateCommand (腾讯云)

    腾讯云检测

    腾讯云与 AWS API 调用最大的不同在于,腾讯云可以通过 API 接口查询某个 AK id 的详细动作,但是 AWS 只能在平台上搜索,而不能通过 AK/SK 调用接口查询某个 AK id 的最近的执行信息

    所以要检测腾讯云 AK/SK 的利用,就需要输入要监控线上业务使用的 AK id 列表,定期查看某个 AK id 执行的动作

    AWS 检测

    AWS 则只能根据 region 和动作来获取日志,通过 AK/SK 调用 CloudTrail 接口获取某个 region 下某个动作是否有日志,所以 AWS 更多是根据基线来判断的。

    1 条回复    2024-06-05 23:14:03 +08:00
    0xccff
        1
    0xccff  
       171 天前
    Aws 下可以所有 cloudtrail 日志存储到 s3,然后利用 athena 类工具做分析。s3 下有个好处是日志是汇总的。另外 Aws 调 Aksk 直接用 ip 判断会有坑,比如经常会发现 aws 出口 ip 调 aksk,但是显然又不适合直接整个 Aws 网段加白
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1160 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 18:36 · PVG 02:36 · LAX 10:36 · JFK 13:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.