1. 首頁 > 生活百科 > >

AWS云環境遭AI輔助攻擊:10分鐘內獲得管理員權限

ai芯片半導體it芯片

AWS云環境遭AI輔助攻擊:10分鐘內獲得管理員權限

數字入侵者利用人工智能輔助 , 在不到10分鐘的時間內就攻破了AWS云環境 , 從初始訪問權限升級到管理員權限 。

Sysdig威脅研究團隊表示 , 他們在11月28日觀察到了這次入侵事件 , 該事件不僅因其速度而引人注目 , 還因為有\"多個指標\"表明犯罪分子使用了大語言模型來自動化攻擊的大部分階段 , 包括偵察、權限提升、橫向移動、惡意代碼編寫以及LLMjacking(利用受損的云賬戶訪問云托管的大語言模型) 。
Sysdig威脅研究主管Michael Clark和研究員Alessandro Brucato在關于此次云入侵的博客文章中表示:\"威脅行為者在不到10分鐘內獲得了管理員權限 , 攻陷了19個不同的AWS主體 , 并濫用了Bedrock模型和GPU計算資源 。 大語言模型生成的帶有塞爾維亞語注釋的代碼、虛構的AWS賬戶ID以及不存在的GitHub倉庫引用 , 都指向了AI輔助的攻擊行動 。 \"
初始訪問和憑證盜取
攻擊者最初通過從公共Amazon S3存儲桶中竊取有效的測試憑證來獲得訪問權限 。 這些憑證屬于一個身份和訪問管理(IAM)用戶 , 該用戶在AWS Lambda上擁有多項讀寫權限 , 在AWS Bedrock上擁有受限權限 。 此外 , S3存儲桶還包含用于AI模型的檢索增強生成(RAG)數據 , 這在后續攻擊中發揮了重要作用 。
【AWS云環境遭AI輔助攻擊:10分鐘內獲得管理員權限】為了防止此類憑證盜取 , 不要在公共存儲桶中留下訪問密鑰 。 Sysdig建議為IAM角色使用臨時憑證 , 對于堅持向IAM用戶授予長期憑證的組織 , 請確保定期輪換這些憑證 。
權限提升和Lambda代碼注入
在嘗試使用\"sysadmin\"和\"netadmin\"等通常與管理員級權限相關的用戶名失敗后 , 攻擊者最終通過Lambda函數代碼注入實現了權限提升 , 濫用了受損用戶的UpdateFunctionCode和UpdateFunctionConfiguration權限 。
他們三次替換了名為EC2-init的現有Lambda函數的代碼 , 不斷迭代攻擊目標用戶 。 第一次嘗試針對adminGH , 盡管名稱如此 , 但該用戶缺乏管理員權限 。 隨后的嘗試最終成功攻陷了管理員用戶frick 。
安全研究人員注意到 , 代碼中的注釋是用塞爾維亞語編寫的(可能表明入侵者的來源) , 代碼本身列出了所有IAM用戶及其訪問密鑰 , 為frick創建了訪問密鑰 , 并列出了S3存儲桶及其內容 。
AI生成代碼的特征
此外 , 據安全研究人員稱 , 攻擊者的代碼包含\"全面的\"異常處理 , 包括限制S3存儲桶列表的邏輯 , 并將Lambda執行超時從3秒增加到30秒 。
這些因素 , 結合從憑證盜取到Lambda執行的短時間 , \"強烈表明\"該代碼是由大語言模型編寫的 。
接下來 , 惡意行為者開始收集賬戶ID , 并嘗試在所有AWS環境中承擔OrganizationAccountAccessRole 。 有趣的是 , 他們包含了不屬于受害組織的賬戶ID:兩個具有升序和降序數字的ID(123456789012和210987654321) , 以及一個似乎屬于合法外部賬戶的ID 。
Clark和Brucato寫道:\"這種行為與通常歸因于AI幻覺的模式一致 , 為LLM輔助活動提供了進一步的潛在證據 。 \"
總共 , 攻擊者獲得了對19個AWS身份的訪問權限 , 包括跨14個會話的6個不同IAM角色 , 以及5個其他IAM用戶 。 然后 , 利用他們創建的新管理員用戶賬戶 , 犯罪分子竊取了大量敏感數據:來自Secrets Manager的秘密、來自EC2系統管理器的SSM參數、CloudWatch日志、Lambda函數源代碼、來自S3存儲桶的內部數據以及CloudTrail事件 。
LLMjacking攻擊階段
然后他們轉向攻擊的LLMjacking部分 , 以獲得對受害者云托管大語言模型的訪問權限 。 為此 , 他們濫用用戶的Amazon Bedrock訪問權限來調用多個模型 , 包括Claude、DeepSeek、Llama、Amazon Nova Premier、Amazon Titan圖像生成器和Cohere Embed 。
Sysdig指出 , \"調用賬戶中無人使用的Bedrock模型是一個危險信號\" , 企業可以創建服務控制策略(SCP)來只允許調用某些模型 。
在Bedrock之后 , 入侵者專注于EC2 , 查詢適合深度學習應用的機器鏡像 。 他們還開始使用受害者的S3存儲桶進行存儲 , 其中存儲的一個腳本看起來是為機器學習訓練設計的 , 但它使用了一個不存在的GitHub倉庫 , 這表明大語言模型在生成代碼時產生了幻覺 。
雖然研究人員表示他們無法確定攻擊者的目標(可能是模型訓練或轉售計算訪問權限) , 但他們注意到該腳本在8888端口上啟動了一個公開可訪問的JupyterLab服務器 , 為實例提供了不需要AWS憑證的后門 。
然而 , 出于未知原因 , 他們在5分鐘后終止了實例 。
防護建議
這是攻擊者越來越依賴AI在攻擊鏈的幾乎每個階段幫助他們的最新例子 , 一些安全主管警告說 , 犯罪分子完全自動化大規模攻擊只是時間問題 。
組織可以采取一些措施來防御類似的入侵 , 大多數涉及加強身份安全和訪問管理 。 首先:對所有IAM用戶和角色應用最小權限原則 。
Sysdig還建議限制Lambda中的UpdateFunctionConfiguration和PassRole權限 , 將UpdateFunctionCode權限限制為特定函數 , 并僅將其分配給需要代碼部署能力來完成工作的身份 。
此外 , 確保包含敏感數據(包括RAG數據和AI模型工件)的S3存儲桶不能公開訪問 。
為Amazon Bedrock啟用模型調用日志記錄以檢測未授權使用也是一個好主意 。
Q&A
Q1:什么是LLMjacking攻擊?
A:LLMjacking是指攻擊者利用受損的云賬戶來訪問云托管的大語言模型 。 在這次AWS攻擊事件中 , 犯罪分子濫用受害者的Amazon Bedrock訪問權限 , 調用了多個AI模型包括Claude、DeepSeek、Llama等 , 用于惡意目的 。
Q2:這次AWS攻擊為什么能在10分鐘內獲得管理員權限?
A:攻擊者使用AI輔助快速自動化了攻擊過程 。 他們通過竊取公共S3存儲桶中的有效憑證獲得初始訪問 , 然后利用Lambda函數代碼注入技術進行權限提升 , 最終攻陷了管理員用戶賬戶 。
Q3:企業如何防御這種AI輔助的云攻擊?
A:主要防護措施包括:不在公共存儲桶中存放訪問密鑰 , 對所有IAM用戶和角色應用最小權限原則 , 限制Lambda函數的更新權限 , 確保敏感數據的S3存儲桶不可公開訪問 , 為Amazon Bedrock啟用模型調用日志記錄等 。

    推薦閱讀