压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

1?概述

近年來，伴隨著企業(yè)上云的步伐不斷加快，云上業(yè)務(wù)與數(shù)據(jù)隨之增多，同時云上風(fēng)險和安全事件也層出不窮。對象存儲作為云原生的一項(xiàng)重要功能，同樣面臨著一系列安全挑戰(zhàn)。在對象存儲所導(dǎo)致的安全問題中，絕大部分是由于用戶錯誤的配置導(dǎo)致的。云上服務(wù)資產(chǎn)數(shù)量巨大、類型眾多，不同服務(wù)及資產(chǎn)暴露的攻擊面均不相同，安全態(tài)勢復(fù)雜，盡管對象存儲服務(wù)等公有云服務(wù)在配置界面已經(jīng)設(shè)置了多種提示和警告措施，云上數(shù)據(jù)泄露事件依然每年都在發(fā)生，而云上數(shù)據(jù)可能泄漏的敏感信息多種多樣。近年來的安全事件泄漏信息包括：用戶信息， 公司內(nèi)部信息、數(shù)據(jù)庫等各種配置信息，系統(tǒng)構(gòu)建源碼，git倉庫信息、平臺賬號、密碼、密鑰、證書、隱私數(shù)據(jù)等。

對象存儲服務(wù)重大泄漏事件回顧：

1.2022年微軟數(shù)據(jù)泄漏事件， 披露的泄露數(shù)據(jù)包括執(zhí)行證明(PoE)、工作說明文檔、發(fā)票、產(chǎn)品訂單 / 報價、項(xiàng)目詳情、已簽署的客戶文件、POC工程、客戶電子郵件、客戶產(chǎn)品價目表和客戶庫存、客戶內(nèi)部意見、營銷策略、客戶資產(chǎn)文檔以及合作伙伴生態(tài)系統(tǒng)詳細(xì)信息等。

2.豐田于2017年將其“T-Connect”應(yīng)用程序的源代碼發(fā)布在軟件開發(fā)平臺GitHub上后，數(shù)據(jù)發(fā)生泄露。然而，豐田直到近五年后才意識到源代碼是公開的。豐田更改了訪問代碼，但該漏洞暴露了30萬客戶的電子郵件。

由上面兩起泄漏事件來看，數(shù)據(jù)泄漏絕不是小事，“大廠”依然中招，讓我們一起來通過測繪數(shù)據(jù)來看看云存儲的風(fēng)險情況。

2?云存儲風(fēng)險分析

2.1 存儲桶概述

存儲桶是對象的載體，可理解為存放對象的“容器”，對象以扁平化結(jié)構(gòu)存放在存儲桶中，無文件夾和目錄的概念，用戶可選擇將對象存放到單個或多個存儲桶中。由于存儲桶具有擴(kuò)展性高、存儲速度快、訪問權(quán)限可自由配置等優(yōu)勢， 如今已納入各大公有云廠商的關(guān)鍵基礎(chǔ)設(shè)施，例如 Amazon 的 S3、Microsoft 的 Blob、阿里云的 OSS、騰訊云的 COS 等。

2.2 存儲桶訪問測試

2.2.1 S3存儲桶訪問方式

Amazon作為全球最大的公有云廠商之一，其所提供的S3存儲桶服務(wù)正在被許多租戶所使用。S3存儲桶的一種訪問域名形式為https://.s3..amazonaws.com/, 在這種域名形式下，變量主要有兩個，分別為存儲桶名bucket-name，存儲桶所在區(qū)域region；注意：s3默認(rèn)必須加區(qū)域，某些區(qū)域才能不加region-code。如下圖所示:

2.2.2 S3存儲桶訪問方式

根據(jù)S3全局端點(diǎn)存儲桶域名特征包含‘s3.amazonaws.com’在X情報社區(qū)-資產(chǎn)測繪檢索，資產(chǎn)示例如下圖所示：

存儲桶地址訪問示例: http://softxxxx.s3.amazonaws.com，返回頁面如下圖所示：

可公開訪問的存儲桶可以獲取以下信息：存儲桶名稱、存儲桶中所有資源路徑、存儲桶信息更新時間、存儲桶資源md5 hash值。

測試資源下載：存儲桶地址 + 資源路徑。

成功下載：

這意味著，只要在瀏覽器中輸入了正確的URL，世界上任何人都可以訪問這些數(shù)據(jù)。

2.3 存儲桶訪問常見返回頁面

a. 訪問權(quán)限受限，不可公開訪問：

b. 存儲桶目前不存在：

c. 可公開訪問：

根據(jù)可公開訪問存儲桶頁面特征，我們可以在X情報社區(qū)-資產(chǎn)測繪檢索出全網(wǎng)可公開訪問的存儲桶；根據(jù)X情報社區(qū)-資產(chǎn)測繪數(shù)據(jù)統(tǒng)計近一年存儲桶總數(shù)約784萬，其中可公開訪問存儲桶約為24萬，即可公開訪問存儲桶約占測繪中存儲桶總量的3%。

2.4 廠商特征與資產(chǎn)占比統(tǒng)計表

2.4.1 各大廠商返回的header頭特征示例：

2.4.2根據(jù)各廠商特征，X情報社區(qū)-資產(chǎn)測繪統(tǒng)計了各廠商未授權(quán)資產(chǎn)占比統(tǒng)計表：

存儲桶資產(chǎn)國家分布統(tǒng)計表：

根據(jù)統(tǒng)計結(jié)果，s3存儲桶使用量是最多的，也意味著它可公開訪問的存儲桶也是最多的；其次是國內(nèi)的阿里、騰訊、華為等公司的云服務(wù)在市場占比靠前；存儲桶資產(chǎn)量最多的國家分別是美國、中國與日本。

2.5 小結(jié)

根據(jù)S3存儲桶訪問實(shí)驗(yàn)，我們可知一旦存儲桶配置了可公開訪問，這意味著，只要在瀏覽器中輸入了正確的URL，世界上任何人都可以訪問這些數(shù)據(jù)；如果由于配置錯誤，公開了本應(yīng)該受保護(hù)的資源，對于個人或企業(yè)來說數(shù)據(jù)泄露的發(fā)生已經(jīng)臨近。

CSOP 2023

網(wǎng)絡(luò)安全領(lǐng)域最具專業(yè)性的年度盛會之一 CSOP 2023 網(wǎng)絡(luò)安全運(yùn)營與實(shí)戰(zhàn)大會將于6月8日在深圳繼續(xù)，安全負(fù)責(zé)人和CISO不能錯過~

長按識別下方二維碼即可報名：

3?各廠商存儲桶訪問權(quán)限測試

3.1 阿里云

據(jù)統(tǒng)計，阿里云存儲桶資產(chǎn)數(shù)最近一年約55W，主要分布在中國，集中我國發(fā)達(dá)城市，北京、浙江、廣東、香港、上海等省市存儲桶資產(chǎn)總數(shù)排名居前。

OSS存儲桶服務(wù)域名構(gòu)成規(guī)則如下圖所示:

oss存儲桶資產(chǎn)示例：

通過ip可以成功訪問，頁面泄漏了存儲桶名稱：

根據(jù)阿里云存儲桶域名構(gòu)造文檔，已知存儲桶名稱和地理位置，構(gòu)造訪問域名: http://yxxxxxan.oss-cn-beijing.aliyuncs.com， 如圖所示，無權(quán)限訪問；

如圖所示，直接根據(jù)域名是無法訪問的，存儲桶域名訪問是有權(quán)限控制，不能公開訪問; 域名解析的ip只是cdn服務(wù)的ip地址，與數(shù)據(jù)真正所在設(shè)備ip并不相同。

3.2 騰訊云

據(jù)統(tǒng)計，騰訊云存儲桶資產(chǎn)數(shù)最近一年約100W，主要分布在中國，國內(nèi)以山東、天津、河南、山西、江蘇存儲桶資產(chǎn)總數(shù)排名居前。

cos存儲桶服務(wù)域名構(gòu)成規(guī)則如下圖所示：

cos存儲桶資產(chǎn)示例：

通過ip可以成功訪問，頁面泄漏了存儲桶名稱：

根據(jù)騰訊云存儲桶文檔，我們根據(jù)存儲桶名稱以及地理位置構(gòu)造訪問域名https://asp-12xxxxx22.cos.ap-shanghai.myqcloud.com，無權(quán)限訪問；

如圖所示，直接根據(jù)域名是無法訪問的，存儲桶域名訪問是有權(quán)限控制，不能公開訪問; 域名解析的ip只是cdn服務(wù)的ip地址，與數(shù)據(jù)真正所在設(shè)備ip并不相同。

3.3 谷歌云

據(jù)統(tǒng)計，谷歌云存儲桶資產(chǎn)數(shù)最近一年約3W，資產(chǎn)主要集中在美國，中國則是以香港，臺灣等省市排名居前。

谷歌云存儲桶域名訪問文檔示例：

谷歌存儲桶資產(chǎn)示例：

通過ip可以成功訪問，頁面泄漏了存儲桶名稱：

根據(jù)谷歌存儲桶域名訪問文檔，存儲桶地址沒有區(qū)域之分，已知存儲桶名稱，構(gòu)造域名: http://storage.googleapis.com/存儲桶名稱 或 http://存儲桶名稱.storage.googleapis.com/，可正常訪問:

谷歌云存儲桶通過ip或域名訪問用的是同步的訪問策略，ip可訪問的使用域名也可訪問；通過存儲桶的內(nèi)容我們即可知道為同一個存儲桶資源。

3.4 小結(jié)

根據(jù)上述存儲桶訪問權(quán)限測試，當(dāng)通過廠商給出的存儲桶域名構(gòu)造條件構(gòu)造訪問域名時候，未設(shè)置公開訪問的存儲桶是無法通過域名訪問到資源的，起到了保護(hù)存儲桶信息的作用；但可以通過存儲桶ip直接訪問存儲桶資源,本質(zhì)上等于存儲桶仍舊處于暴露狀態(tài)；根據(jù)X情報社區(qū)-資產(chǎn)測繪統(tǒng)計, 可直接通過ip訪問存儲桶資源占比所有可公開訪問存儲桶資源的10%。

4?存儲桶敏感信息發(fā)現(xiàn)

4.1 存儲桶數(shù)據(jù)類型統(tǒng)計

根據(jù)泄漏文件分類，我們統(tǒng)計了可公開訪問存儲桶的資源類型統(tǒng)計表，如下圖所示:

數(shù)據(jù)類型	文件后綴名	備注
圖片	jpg、png、jpeg、svg、bmp、gif、tif	網(wǎng)站icon圖標(biāo)、圖片靜態(tài)資源
前端文件	js、html、htm、css、xml	html，css, js等文件
媒體	mp3、mp4、frg、mov、flv、swf、wmv	音視頻，用戶上傳或企業(yè)宣傳物料
文檔	xlsx、csv、txt、json、log、pdf、ppt、doc、docx	企業(yè)平臺使用文檔、各類文件模版、 配置文件、統(tǒng)計表格、日志文件、客戶端
可執(zhí)行文件	exe、bat、apk、cmd、bat、bin、app、dmg、jar	可執(zhí)行程序、安裝包
其他	—	其他類型文件

4.2 數(shù)據(jù)泄漏案例分享：

CSV文件泄漏了某次網(wǎng)課學(xué)生網(wǎng)絡(luò)信息：

圖片資源泄漏個人信息：

Excel文件泄漏個人手機(jī)號、郵箱等信息：

4.3 小結(jié)

泄露信息分類

公司相關(guān)：員工信息、公司運(yùn)營數(shù)據(jù)、合同信息、發(fā)票信息、內(nèi)部報告等

用戶信息：身份證信息、手機(jī)號、郵箱、住址、ip、用戶名等

根據(jù)分析各廠商未授權(quán)的存儲桶信息來看，主要存儲了圖片，網(wǎng)站靜態(tài)資源、音頻、視頻、文檔、壓縮包、安裝包等類型數(shù)據(jù)；根據(jù)泄漏信息來看，泄漏信息數(shù)據(jù)主要來自于文檔信息，大部分來自于文件后綴為xlsx、csv文件，允許下載系統(tǒng)備份、源代碼等的存儲桶這對這家泄密的公司來說是一個關(guān)鍵風(fēng)險，利用源碼攻擊者可以找到系統(tǒng)漏洞，實(shí)施攻擊。即使是可供下載的日志文件也可能會顯示用戶名、密碼、數(shù)據(jù)庫查詢等信息。根據(jù)上述案例我們可以發(fā)現(xiàn)，信息泄漏仍在發(fā)生，正確的權(quán)限配置與定時檢查是防止信息泄漏的必要手段。

5?存儲桶惡意文件發(fā)現(xiàn)

存儲桶存儲的文件資源多種多樣，除了觀察泄漏信息之外，我們進(jìn)一步留意了存儲桶中出現(xiàn)的惡意文件，根據(jù)惡意文件特征從測繪數(shù)據(jù)中篩選出來一批存儲桶，對存儲桶內(nèi)的惡意文件行為特征進(jìn)一步分析并關(guān)聯(lián)到了一批惡意文件。

5.1 惡意文件行為特征檢索

存儲桶中的惡意文件示例：

通過微步云沙箱進(jìn)一步確認(rèn)，判定文件確實(shí)存在惡意行為，如圖所示：

5.2 惡意文件關(guān)聯(lián)

通過對存儲桶惡意文件進(jìn)行排查，我們發(fā)現(xiàn)某些樣本存在于多個存儲桶之中：

根據(jù)樣本內(nèi)容我們可以看出這是一個后門文件，如圖所示:

通過微步云沙箱對樣本進(jìn)一步檢測，結(jié)果如圖所示：

此批存儲桶中還存在另外一個可疑文件，該惡意文件可以下載文件并修改了權(quán)限，調(diào)用后臺執(zhí)行，如圖所示：

通過微步云沙箱對樣本進(jìn)一步檢測，我們可以看到文件的惡意行為，結(jié)果如圖所示：

關(guān)聯(lián)到的幾個樣本同時出現(xiàn)在一批存儲桶之中，而通過對存儲桶的資源進(jìn)行分析，存儲桶是某些公司網(wǎng)站用來存儲網(wǎng)站靜態(tài)資源的，推測由于存儲桶權(quán)限問題，導(dǎo)致存儲桶可以被公開讀寫，一旦攻擊者上傳了后門，即可在網(wǎng)站形成webshell, 通過webshell進(jìn)一步控制主機(jī)，甚至在內(nèi)部橫移控制更多設(shè)備，根據(jù)存儲桶被非法寫入的文件，相關(guān)公司應(yīng)該或多或少已經(jīng)出現(xiàn)主機(jī)失陷。

5.3 小結(jié)

后門文件出現(xiàn)在多個存儲桶之中，部分存儲桶因?yàn)樵O(shè)置公開讀寫，攻擊者可以在存儲桶中存儲的Web應(yīng)用代碼內(nèi)安插后門代碼或后門文件，并觸發(fā)代碼自動化部署服務(wù)將后門部署至服務(wù)器以完成持久化操作。這些存儲著惡意后門將會持久的存在于Web應(yīng)用代碼中，當(dāng)服務(wù)器代碼遷移時，這些后門也將隨著遷移到新的服務(wù)器上部署。

6?存儲桶風(fēng)險分析總結(jié)

近年來，世界各國都陸續(xù)開始重視數(shù)據(jù)及隱私安全。歐盟推出了通用數(shù)據(jù)保護(hù)條例（GDPR），我國《中華人民共和國數(shù)據(jù)安全法》也于2021年6月10日通過。在全球信息化程度不斷加深的當(dāng)下，每個人都必須重視數(shù)據(jù)安全。對于互聯(lián)網(wǎng)服務(wù)的提供者來說，如何合法合規(guī)地提供數(shù)據(jù)相關(guān)服務(wù)，已經(jīng)是生產(chǎn)過程中不容忽視的問題；對于互聯(lián)網(wǎng)服務(wù)的使用者來說，如何確保自己的個人數(shù)據(jù)安全、不被惡意使用，同樣是一個愈加復(fù)雜但重要的事情。而存儲桶數(shù)據(jù)泄露事件主要是人為錯誤配置導(dǎo)致的。而從最后我們發(fā)現(xiàn)的敏感信息來看，訪問權(quán)限的錯誤配置導(dǎo)致的數(shù)據(jù)泄露問題如今仍在時刻發(fā)生著。針對存儲桶數(shù)據(jù)泄露的防護(hù)策略可從兩個方向入手，一方面需要加強(qiáng)存儲桶運(yùn)維人員的安全意識，從源頭上避免訪問權(quán)限錯誤配置的情況發(fā)生，另一方面則需要有效的數(shù)據(jù)安全評估工具，當(dāng)存儲桶有數(shù)據(jù)泄露的情況發(fā)生時，可以進(jìn)行及時地發(fā)現(xiàn)并鎖定敏感信息。

參考鏈接

https://docs.aws.amazon.com/zh_cn/AmazonS3/latest/userguide/VirtualHosting.html#virtual-hosted-style-access

https://help.aliyun.com/document_detail/31837.html

https://www.tencentcloud.com/zh/document/product/436/6224

https://cloud.google.com/storage/docs/buckets?hl=zh-cn

來源：微步在線研究響應(yīng)中心