雲端威脅持續增加：趨勢顯示攻擊者更加著重於 IAM 與滲透

摘要

針對雲端託管基礎架構的攻擊活動越來越多，而證據就在安全警示趨勢的分析中。最近的研究顯示，組織在 2024 年底收到的每日雲端警示數量是年初的五倍左右。這表示攻擊者已大幅加強對雲端基礎架構的攻擊。

這些警示並非只是噪音。如表 1 所述，我們看到高嚴重度警示的增加幅度最大，這代表著攻擊指標成功瞄準關鍵的雲端資源。

雲端資源	為什麼這很重要
身分與存取管理 (IAM, Identify and Access Management)	L洩漏的憑證可能會打開組織雲端基礎架構的大門。
儲存	可能包含敏感的組織或客戶資料。
虛擬主機	通常與其他內部服務相連，提供攻擊者橫向移動的機會。
容器 (Container)	容器主機濫用可讓攻擊者執行惡意容器。
無伺服器架構 （Serverless）	無伺服器功能專為單一自動化目的而設計。遠端命令列執行不應發生。

表 1.某些雲端資源的關鍵性。

特別值得注意的是，攻擊者經常以無伺服器運算架構的 IAM 權杖做為攻擊目標，導致遠端命令列的濫用。這些都很重要，因為其可用於存取組織的大型雲端環境。作為雲端警示增加的一部分，利用身份存取與管理權杖 (IAM tokens) 令牌以及雲端無伺服器功能(serverless functions)所使用的憑證的遠端命令列存取事件數量增加三倍。

我們還發現了警報的其他上升趨勢：

• 基於 IAM 的「不可能的旅行事件（impossible travel event）」警示增加 116%（即在短時間內，突然從遙遠地理區域的登入事件）
• 來自外部區域的 IAM 應用程式介面 (API) 計算資源（雲端虛擬機器）請求增加 60%
• 2024 年 11 月期間，雲端快照（cloud snapshot）輸出數量的峰值增加 45%
• 多個雲端儲存物件的可疑下載數量增加 305%

身份是雲端基礎架構的防禦邊界。攻擊者的目標是 IAM 權杖和憑證，因為其掌握著雲端王國的鑰匙，讓攻擊者可以橫向移動、升級權限並執行其他惡意操作。高度機密 IAM 服務帳戶的存取嘗試和使用量增加，代表著全球的攻擊者都將他們的據點設置在雲端資源上。

攻擊者的目標是雲端儲存服務，因為這些服務通常包含敏感資料。我們發現可疑雲端儲存物件下載和影像快照匯出的次數明顯增加。當單一基於 IAM 的身分在短時間內下載大量儲存物件時，便會觸發可疑雲端儲存物件下載警示。這可能代表惡意活動，例如勒索軟體或敲詐活動。映像快照是攻擊者的目標，因為快照可能包含雲端基礎架構和 IAM 認證的敏感資料，可讓攻擊者提升權限，並在受害者雲端環境中橫向移動。

這些範例說明保護雲端環境的迫切需求，不僅要使用基礎雲端安全勢態管理 (CSPM) 工具，還要與偵測和預防惡意執行時作業的工具合作。

透過部署 Cortex Cloud 的執行時間雲端安全工具—也稱為雲端偵測和回應 (CDR)，安全團隊可以識別和防止雲端環境中的惡意事件。

如果您認為自己可能已受到攻擊或有緊急情況，請聯絡 第 42 單元事件回應小組.。

規模化的雲端攻擊

在最近的 Unit 42 貼文中，我們公佈直接針對暴露的環境變數檔案的勒索軟體和敲詐活動的詳細資訊。該攻擊活動的威脅主動者從 110,000 個目標網域中成功取得超過 90,000 個憑證。更令人擔心的是，他們還擷取近 1,200 個雲端 IAM 認證。這些憑證可讓威脅者成功對多個組織執行勒索攻擊。

這項作業突顯討論保護組織的安全機制的機會。具體來說，這可讓我們決定如何無縫採用勢態管理（posture management）和執行時監控（runtime monitoring）安全解決方案。這可讓組織建立足夠強大的雲端安全防禦周邊，並有能力面對這些新一波的攻擊者。

在本篇文章的調查過程中，我們發現組織在 2024 年所遭遇的雲端警示平均總數增加 388%。這些警示來源於勢態管理和執行時監控偵測作業。

雖然「資訊類」嚴重性的警報佔警示的大多數，但最直得注意的變化是高度嚴重性警報的數量。此類警報在 2024 年間增加 235%。中度和低度警示也分別增加 21% 和 10%。

這些趨勢警示代表什麼

我們觀察到的警示數量的變化與我們的《2024 年雲端原生安全狀況報告》一致，該報告發現 71% 的組織將漏洞暴露的增加歸因於快速部署。此外，這些組織中有 45% 表示先進持續性威脅 (APT) 攻擊在去年有所上升。

微軟最近對 Storm-2077 的研究就是一個很好的例子，Storm-2077 是一個總部位於中國的雲端攻擊組織 (CTAG)，其採用複雜的雲端 IAM 憑證收集技術來取得並維持受害雲端環境的存取權限。但很快就發現，雲端勢態管理和執行時安全監控必須作為單一運作單位，才能在雲端環境中針對下一階段的威脅執行足夠的防護。下面的背景資料提供有關態勢管理和執行時監控偵測的更多資訊。

雲端防衛者的一項重要任務是設計和部署可提升偵測能力的雲端安全平台。這不僅可讓管理員偵測錯誤配置和弱點，還可收集和分析雲端環境內的執行時事件。這樣的平台可為網路防禦人員提供更佳的可視性，並在處理警示時提供更快的回應時間。

儘管識別和偵測惡意或可疑雲端事件的能力已在整個產業中提升，但威脅份子攻擊性雲端作業的複雜性也隨之增加。舉例來說，在 2024 年 1 月，一般的雲端環境只看見兩個無伺服器功能 IAM 權杖遠端命令列使用的警示。這一點在全年都保持一致。然而，到了 2024 年 12 月，一般的雲端環境會看到超過 200 個相同的警示 - 這是一個令人擔心的活動增加訊號。 正如《洩漏的環境變數》文章中所分享的，這個執行階段操作正是在那次惡意勒索事件中發生的。

支持這種趨勢的進一步證據包括以下幾點：

• 與雲端身分相關的不可能旅遊警示增加 116％
• 計算工作負載 從該實例的雲端區域以外發生的 API 呼叫數量增加 60%。
• 雲端快照匯出數量增加 45％
• 多個雲端儲存物件的可疑下載數量增加 305％

這兩項警示結果都強烈顯示 CTAG 的首要目標是瞄準、收集和使用雲端 IAM 權杖或憑證。這也表示攻擊者會使用這些權杖或憑證進行潛在的惡意操作。

背景資料

雲端安全態勢管理 (CSPM) 工具構成雲端安全性的基礎。他們的作業中心在於護欄控制監控，以確保雲端環境能維持安全的組態，並避免漏洞和錯誤組態。

勢態管理監控傳統上是以特定時間的雲端環境資源與組態安全掃描為基礎。當新的或修改過的雲端資源出現潛在安全風險時，就會觸發警報。

例如，如果 IAM 政策過度放任，允許存取其他雲端資源，就會觸發警報。如果雲計算實體或無伺服器功能包含漏洞或錯誤配置，也會觸發。

姿勢管理掃描作業應該是例行性的，通常每小時或每天執行一次。有些 CSPM 安全工具也允許監控雲端平台稽核記錄，這有助於偵測雲端服務平台 (CSP) 中發生的可疑活動。組織必須設定其 CSPM 平台，以收集來自第三方雲端軟體即服務 (SaaS) 應用程式的稽核記錄，以確保可視性。

CDR 工具透過收集、識別甚至阻止特定事件中發生的作業，提供執行時監控偵測。透過收集來自雲端運算實體、CSP 記錄資源及第三方雲端 SaaS 應用程式的記錄，CDR 安全工具可辨識、警示及預防惡意的雲端事件。

這些作業的範例包括針對雲平台或雲應用程式執行 API 請求，例如

• 建立新的雲端使用者或服務帳號
• 為新的或已建立的 IAM 使用者或角色附加 IAM 政策
• 從 Tor 出口節點或 VPN 主機建立網路連線

相較於勢態管理工具，運行時監控工具會持續監控雲端環境，並且通常需要專用代理程式來維持雲端資源的可見性。安裝代理程式後，雲端執行時間監控安全工具可在惡意雲端作業發生時執行偵測動作 (甚至預防)。

高嚴重性警報趨勢

我們觀察到 2024 年的警示數量明顯增加，與雲端環境的攻擊增加相關。

在整個 2024 年，高度嚴重的雲端警示增加 235%。最大的單月峰值 (281%) 發生在 5 月，我們注意到這些警示在 8 月、10 月和 12 月有最大幅度的增加 (204%、247% 和 122%)，如圖 1 所示。

十大高度警示

仔細觀察前 10 個最常發生的每日高嚴重性警示，可以發現有許多警示僅與以執行時間為重點的事件有關。這些警報由單一事件或一連串相關事件觸發。這需要近乎即時的分析，或者在某些情況下，需要即時分析來進行檢測。

下面的表 2 顯示，無伺服器 IAM 權杖（Serverless IAM tokens）的遠端命令列使用是需要即時日誌分析才能偵測並可能預防的事件。相反地，最常發生的高嚴重性警示「雲端儲存刪除保護已停用」，則可透過 CSPM 工具偵測並加以緩解。

 

警報名稱	運行時間或姿勢控制	每日平均計數
無伺服器代碼的遠端命令列用法	執行時間	24.68
一個身分執行了多個雲端儲存物件的可疑下載	執行時間	21.09
雲端儲存刪除保護已停用	態勢和執行時間	20.19
大量區域的運算資源分配異常	態勢和執行時間	11.11
從非雲端 IP 在群集外使用 Kubernetes 節點服務帳號	態勢	11
異常 在多個區域分配可疑的運算資源	態勢和執行時間	10
匯出多個雲端快照	執行時間	9.33
無伺服器角色的遠端命令列用法	執行時間	7.79
多個雲端運算資源的不尋常分配	態勢和執行時間	7.73
異常 多個區域的運算資源分配異常	態勢和執行時間	6.42

表 2.高嚴重性警示以平均發生率為準。

為了確保已停用刪除保護的儲存容器內的雲儲存物件受到保護，我們強烈建議您部署 CDR 工具。這些工具可以偵測並防止任何雲端儲存物件因「保護失效」事件而被刪除。

其他值得注意的高嚴重性警示包括多個雲端快照匯出和服務帳號 IAM 的可疑使用。這兩項都是雲端環境中惡意活動的關鍵指標。

可能觸發這些警示的惡意作業範例包括以雲端為重點的敲詐或勒索軟體事件。只有先停用雲端儲存保護，例如刪除保護和自動備份，才能利用這些類型的事件。一旦移除這些保護措施，惡意行為者就可以刪除或外滲雲端儲存容器物件，增加勒索作業成功的可能性。

其中一些高嚴重性警示也可能因暴露或脆弱的無伺服器或運算實例資源受到攻擊而觸發。具體而言，就無伺服器 IAM 權杖的遠端命令列使用而言，無伺服器功能的設計是為了自主獨立運作。

遠端或未經授權使用無伺服器功能的 IAM 記憶體，表示雲端環境內的入侵和潛在橫向移動。相同類型的事件可能表示服務帳戶 IAM 權杖被惡意使用。鑑於服務帳戶 IAM 權杖通常只有單一用途，因此該令牌的任何異常使用都應被視為可疑。

中度嚴重警告趨勢

與年終高嚴重度警報尖峰不同，我們在 2024 年中看到中等嚴重度警示持續尖峰。如圖 2 所示，此一高峰包括最初的 186% 及隨後的 24%，之後一直到 12 月都呈現下降趨勢。

十大媒體警示

下表 3 所示的前 10 大中等嚴重性警示與上表 2 所列的前 10 大高嚴重性警報不同。關鍵差異在於，除了前 10 大中等嚴重性警示中的一個之外，其他所有警示的事件都只能透過執行某種形式的執行時保護分析才能偵測到。

不尋常的大量資料傳輸」事件可使用雲端資源的傳統 CSPM 偵測功能觸發。不過，就像上面討論的高嚴重性「雲端儲存刪除保護已停用」事件一樣，CDR 工具能在此不尋常的磁碟區傳輸事件發生時，更好地偵測到它。它也可以識別檔案類型及其雲端儲存檔案或目錄位置。這些細節提供安全團隊執行工作最需要的資源：時間與知識。

警報名稱	運行時間或勢態控制	每日平均計數
IAM 身分嘗試對被拒絕的資源執行多個動作	執行時間	80
在實體區域外執行 API 呼叫的計算附加身分	執行時間	36.32
嘗試從非正常租戶存取雲端應用程式	執行	21.69
一個身分從多個儲存桶執行可疑的多個雲端儲存物件下載	執行時間	18.66
雲端運算身分的不可能旅行	執行時間	18.65
不尋常的儲存高容量資料傳輸	執行時間	15
來自非雲端 IP 的 Kubernetes 服務帳號在群集外的活動	執行時間	12.15
一個雲端應用程式執行了多個被拒絕的動作	執行時間	12.02
匯出多個雲端快照	執行時間	10
可疑身分從備份儲存桶下載多個物件	執行時間	9.68

表 3.按平均發生率進行中等嚴重性警示。

表 3 中列出的幾項警示可能顯示惡意行為者正以雲端資源為目標，例如群集外的 Kubernetes 服務帳戶或來自非雲端 IP 位址的 Kubernetes 服務帳戶。特別是這兩個警示，可能表示 Kubernetes 群集驗證代用幣已遭破解，因為服務帳號 IAM 權杖是為單一目的而設計的。任何在群集外部或已知雲端環境外部使用這些憑證的作業，都應視為可疑活動，並應加以減緩。

另一個必須強調的警示是匯出多個雲端快照。雖然這類事件可能有合法的用例 - 例如部署快照或外部備份 - 但威脅份子也會輸出快照。雲端快照可能包含敏感資訊，因此成為惡意作業的常見目標。

組織可以做什麼

組織可以實施幾個步驟，以更好地保護自己免受惡意雲端作業的威脅：

• 實施有效的 CDR 執行時間監控
  • 為您所有的雲端環境部署 CDR 雲端安全性
  • 確保所有關鍵任務雲端點都有啟用運行時間的代理程式，以偵測運算和容器運行時間作業
  • 確保您的 CSP 供應商提供運行時雲端稽核日誌監控功能
  • 確保您的整合式雲端 SaaS 應用程式能收集：
    • 身分提供者 (IdP)
    • CI/CD 整合
    • 原始碼儲存庫
    • 故障回報平台 / 派單系統
• 對允許運行運算和無伺服器功能的 CSP 區域進行限制
  • 攻擊者通常會在國外 CSP 區域內建立雲端資源，以執行基本的操作混淆形式
• 識別並防止 IAM 服務帳戶執行其預期功能以外的作業
  • 遵循 IAM 憑證的最小權限架構設計能在 IAM 憑證遭洩露時，大大協助對抗橫向移動和權限升級作業
• 確保所有雲端儲存容器都已進行雲端儲存版本管理與加密
  • 版本控制和加密是三大雲端服務供應商的每個雲端儲存容器的免費配置
  • 這兩項功能能夠大幅增加攻擊者嘗試竊取您寶貴、敏感資訊時所遇到的困難

如果有疑問，請記住 CDR 執行時監控防禦必須存在，才能有效對抗雲端環境所面臨的大多數威脅。

總結

CDR 執行時監控是維護安全雲端、混合雲端與多雲端環境的重要一環。正如本文所討論的高、中嚴重性警示趨勢資料所顯示，雲端環境在 2024 年間的平均警示數量增加 388%。

這些警示中，有相當多是執行時作業偵測的直接結果，而單靠勢態管理 (CSPM) 工具是偵測不到這些作業的。CDR 工具提供雲端執行時偵測功能，能夠偵測發生在雲端運算實體、容器主機或無伺服器功能上的惡意事件。

鑑於針對雲端環境的威脅與日俱增，對於這些環境而言，唯一真正的防禦方法就是使用使用雲端型代理程式，針對公開暴露的關鍵雲端端點、CSP 稽核記錄和雲端第三方 SaaS 應用程式提升防禦。使用 CDR 分析工具可讓防禦者收集、偵測並防止執行可能影響任何這些資源的惡意作業。結合雲端資源事件日誌的執行時監控、分析與回應，對於確保不讓惡意作業在雲端環境中運作至關重要。

如果您認為自己可能已受到攻擊或有緊急情況，請與 第 42 單元事件回應團隊聯絡，或撥打電話：。

• 北美洲：免費電話：+1 (866) 486-4842 (866.4.unit42)
• 英國：+44.20.3743.3660
• 歐洲和中東：+31.20.299.3130
• 亞洲：+65.6983.8730
• 日本：+81.50.1790.0200
• 澳洲：+61.2.4062.7950
• 印度：00080005045107

Palo Alto Networks 已將這些發現與我們的網路威脅聯盟 (CTA) 成員分享。CTA 會員利用這些情報快速部署保護措施給客戶，並有系統地瓦解惡意的網路行動者。進一步了解 網路威脅聯盟.。

參考資料

• 洩漏的環境變數允許雲端環境中的大規模勒索作業 - Unit 42, Palo Alto Networks
• 2024 年雲端本機安全狀況報告 - Palo Alto Networks
• 微軟在 CYBERWARCON 分享北韓與中國威脅份子的最新情報 - Threat Intelligence blog, Microsoft
• What Is CSPM? | 雲端安全勢態管理說明 - Cyberpedia, Palo Alto Networks
• What Is CDR (Cloud Detection and Response)? - Cyberpedia, Palo Alto Networks
• 身分與存取管理 (IAM) 的定義 - Gartner 資訊技術詞彙