黑客滥用AWSCloudTrail和Google云日志来规避检测并窃取日志

admin
admin
admin
0
文章
0
评论
2026-06-16 04:36:54 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 安全研究人员发现攻击者正滥用AWSCloudTrail和GoogleCloudLogging服务来规避检测并窃取日志。攻击手法主要分为防御规避和持续可视化两类,前者通过停止日志、删除存储桶、加密密钥交换或日志中毒等方式破坏日志完整性,后者通过重定向日志到攻击者控制的存储实现实时间谍访问。为减少暴露风险,建议严格限制API权限、启用日志文件完整性验证并利用云服务商提供的不可变日志功能。 综合评分: 85 文章分类: 云安全,威胁情报,安全运营,防御规避

cover_image

黑客滥用AWS CloudTrail和Google云日志来规避检测并窃取日志

O安全研究员 O安全研究员

O安全研究员

2026年6月11日 18:55 广东

在小说阅读器读本章

去阅读

云环境已悄然成为现代网络安全中最受攻击的领域之一。随着组织向云迁移,追踪这些环境中活动的服务已成为攻击者的首要任务。

记录云账户内所有操作的日志服务,如今正被用来对付依赖它们的团队。

当这些记录被篡改或重新路由时,安全团队将失去对自身基础设施内部情况的最清晰窗口。

AWS CloudTrail 和 Google Cloud Logging 是这类服务中最广泛使用的两个。这两者都旨在为组织提供云环境中活动的全面视图,实时记录API调用、资源变更和用户操作。

但同样的曝光度也让他们成为高价值目标。能够干扰这些日志的攻击者可以悄无声息地移动,抹去其活动的证据,或者悄无声息地监视受害者的一切而未被察觉。

42号单位的研究人员在与网络安全新闻(CSN)分享的报告中识别并记录了这些攻击手法,详细解析了攻击者如何以两种截然不同的方式攻击云日志。

第一种是防御规避,攻击者通过禁用或破坏日志以避免被发现。第二种是持续可视化,攻击者将日志重定向到自身基础设施,以持续无声监控受害者的云环境。

损害的规模非常可观。像SIEM平台、SOAR系统和云安全态势管理产品等工具都依赖于干净、不中断的日志数据才能正常工作。

如果这些原木丢失、被篡改或重新布线,这些工具就会失效。攻击者在这种沉默中可以慢慢行动,逐步升级权限,访问敏感数据,而几乎没有受到安全团队的抵抗。

黑客滥用AWS CloudTrail和Google Cloud Logg。

通过云记录进行防御规避有多种形式。最直接的方法是完全停止伐木过程。

在AWS中,拥有正确权限的攻击者可以在特定路径调用停止日志API,立即停止所有日志写入连接的S3桶。

在 Google Cloud 中,相当于禁用一个汇入(sink),阻止日志条目到达目的地。

除了停止日志,攻击者还可以完全删除存储桶。在AWS中,这需要和权限。在Google Cloud中,删除的日志桶会进入七天的状态,之后才会永久删除。

s3:DeleteBuckets3:DeleteObjectDELETE_REQUESTED

一种更微妙的方法是将保护日志的加密密钥与攻击者控制的KMS密钥交换,然后撤销对该密钥的访问,使日志无法写入或读取。

第五种方法是日志中毒,攻击者编辑日志文件以删除其活动证据并重新上传,从而使审计轨迹失效。

攻击者通过重新路由日志以实现实时间谍访问

一旦进入受害者环境,复杂的攻击者不仅仅销毁日志。他们通过创建新的路由资源或修改现有资源来重定向这些资源,并将所有活动日志发送到他们控制的存储。

在AWS中,这通过带有自定义桶名的或API实现。在Google Cloud中,或API也能达到同样的结果。

create-trailupdate-traillogging.sinks.createlogging.sinks.update

从那时起,攻击者会实时接收受害者账户内发生的所有动态,从IAM变更到敏感数据访问,而受害者对此毫不知情。

为减少暴露,AWS用户应限制API仅限于高权限用户,并锁定S3桶策略,仅允许CloudTrail对其写入。update-trail

AWS还维护一个90天不可更改的事件历史,无法更改。在 Google Cloud 中,Teams 应该严格限制权限。logging.sinks.update

内置的日志桶提供了一个不可更改的记录,无法修改或删除。启用CloudTrail日志文件完整性验证也至关重要,因为它使用加密检查来检测日志文件是否在交付后被更改。_Required

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:O安全研究员 O安全研究员 O安全研究员《黑客滥用AWS CloudTrail和Google云日志来规避检测并窃取日志》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0