威胁行为者找到滥用 AWS 弹性 IP 转移功能的方法 媒体

AWS Elastic IP 转移的潜在攻击向量

关键要点

在 2022 年 11 月 29 日的 AWS reInvent 2022 大会上，研究人员周二披露了一种新的潜在攻击手段，恶意行为者可以利用 AWS 的弹性 IP 转移 (EIP) 功能，通过控制 AWS 账户来劫持 IP 地址，并发起凭证盗窃和网络钓鱼攻击。

根据 Mitiga 博客文章 的介绍，这种攻击形式为初步侵犯后的攻击提供了新途径，但目前尚未在 MITRE ATTampCK 框架中列出。

Mitiga 研究团队表示，他们在发布 12 月 20 日的博客前已通知了 AWS 安全团队 ，并根据 AWS 的反馈进行了内容的修改，博客中包含了如何使用新 EIP 功能的 全面解释 以及如何 报告滥用行为 的信息。

Vulcan Cyber 的高级技术工程师 Mike Parkin 指出，这种情况是利用功能实现意外目的的经典案例。他表示，AWS 原意是简化组织合法迁移 IP 地址的过程，但显然攻击者找到了一种滥用此功能的方法。

Parkin 解释：“这种技术要求攻击者已经获得受害者空间的访问权限，这在一定程度上缓解了风险。然而，如果他们能够控制这些地址，就可以绕过各种基于 IP 的防御，这才是更深层次的问题。仅依靠一个 IP 地址提供安全性并不可靠。幸运的是，通过 AWS 内置的工具可以降低风险。”

Netenrich 的首席威胁猎手 John Bambenek 补充道，目前面临的最大风险是对于那些正在运行并且有现有 DNS 记录的资源。由于 IP 地址和 DNS 是两个不同的系统，Bambenek 认为更改 IP 拥有权不会自动导致 DNS 的更改。

“因此，类似于域名劫持的攻击是可能发生的。” Bambenek 称，“用户通常信任访问 wwwdomaincom 这类网址，但如果攻击者接管了 IP 地址，他们就可以轻松实施各种品牌管理攻击，例如凭证盗窃或网络钓鱼，而大多数现有的安全工具则不会将其标记为问题。”