雲端運算虛擬主機之攻擊模擬與分析

1. 雲端運算虛擬主機之攻擊模擬與分析 作者:王平 林文暉 周宇軒 呂仁貴 出處:CCISA. COMMUN (2013) 報告人:陳鈺惠 日期:2013/05/08

2. 介紹 1 VM環境弱點分析 2 實驗方法與討論 VM環境威脅分析 4 3 3 3 結論 5 4 Outline

3. 1.介紹(1/4) • APP大量開發與下載，部分系統弱點可威脅至雲端運算中的虛擬主機 (VM)之安全。 • 將針對雲端安全中已知威脅進行攻擊模擬、探討其風險、模擬可行的防護方法。

4. 1.介紹(2/4) • 台灣殭屍電腦佔全球7%，台北市是全球殭屍電腦數量最多的城市。 • 駭客透過殭屍網路攻擊的方式：‧跨網站腳本攻擊 ‧垃圾郵件 ‧APT攻擊 ‧以P2P做媒介之搜尋引擎感染

5. 1.介紹(3/4) • 手持裝置APP的安全漏洞將有兩大影響 ‧個資洩漏 ‧雲端服務之使用者身分認證安全 • 研究重點在於客戶端手持裝置安全與虛擬主機(VM)安全，本文將對雲端虛擬主機安全做說明。

6. 1.介紹(4/4) • 虛擬主機是一個安裝正常主機作業系統，透過軟體及硬體模擬之完全隔離客戶作業系統。 • 透過切割不同網域提供服務。

7. VM環境弱點分析 • VM攻擊技巧 ‧網路嗅聞(Sniffing) ‧封包擷取(Capturing) ‧修改移轉連線之資訊

8. VM環境弱點分析 Vmware • VMware 2008 被證實含有分享資料夾之跨目錄存取弱點，允許使用者在虛擬系統(Guest)與實體系統(Host)主機互相傳遞檔案。 允許接收 CVE-2009-2277 Cookies XSS攻擊

9. VM環境弱點分析 • 虛擬主機系統上之弱點分為六大類 ‧管理控制台弱點(Management console) ‧管理伺服器弱點(Management server) ‧監督虛擬機器弱點(Administrative VM) ‧虛擬主機軟體弱點(Hypervisor) ‧顧客虛擬機器弱點(Guest VM) ‧虛擬主機軟體逸出(Hypervisor escape)

10. VM環境威脅分析 • 雲端運算首要安全威脅 ‧雲端運算被人濫用或惡意使用 ‧不具安全的應用程式開發介面 ‧不肖的內部人員 ‧共用基礎架構的問題 ‧非蓄意之資料外洩 ‧挾持帳戶或服務 ‧其他風險因素：與他人共用雲端廠商資源、 硬體軟體版本與軟體更新風險。

11. 實驗方法與討論（1/24） 實驗一：雲端內部主機健檢—殭屍病毒對外連線之資安監控。 實驗環境：

12. 實驗方法與討論(2/24)

13. 實驗方法與討論(3/24) • 實驗目的：監控雲端伺服器的網路運作，防止伺服器做為跳板的中繼站。 • 實驗步驟： Step1:本實驗採用MD5為02294ce2767628c1fd375dc575eea65f之病毒。 Step2：雲端主機使用者缺乏警覺下載及執行殭屍病毒壓縮檔時，系統彈出視窗告知檔案毀損，並自動產生sql.exe及systeminfo.txt檔案。

14. 實驗方法與討論(4/24)

15. 實驗方法與討論(5/24) Step3：執行完畢後該病毒將會自動刪除，並且將sql.exe所產生的結果儲存至systeminfo.txt中。 Step4：當檔案產生後，該殭屍主機將會把systeminfo.txt回傳至中繼站。

16. 實驗方法與討論(6/24)

17. 實驗方法與討論(7/24) Step5：透過雲端管理主機監控雲端服務內是否有連線至黑名單的IP主機。 Step6：當確認有連線至黑名單IP後，將會通知該雲端主機使用者並強行停止該雲端服務主機的運作。

18. 實驗方法與討論(8/24) 實驗結果與討論：透過病毒感染一段時間後，並在雲端管理主機中發現該殭屍主機，正連線至外部兩台黑主機。透過本實驗可對雲端內部網路進行監控，確認雲端內部網路與外部網路正常連線或攻擊，建置防火牆、IDS 、IPS等設備或工具，對雲端服務能做更進一步的監控與保護，並針對黑名單IP進行過濾，可降低雲端服務的資安風險與法律問題。

19. 實驗方法與討論(9/24) • 實驗二：Inter-VM attacks • 實驗介紹：在IaaS服務中，有許多硬體共享資源，常導致資料外洩等問題，本實驗重現駭客攻擊，透過網路封包監控，確認雲端是否有虛擬主機主持連線，如有則表示該雲端虛擬主機正在進行跨VM攻擊，或進行其他雲端服務主機漏洞之掃描。

20. 實驗方法與討論(10/24) • 實驗環境：LAB模擬之雲端環境 • 實驗方式：透過Gordon Lyon研發的Zennap掃描工具進行測試，確認特定一雲端虛擬主機再針對雲端服務進行弱點掃描時，是否可被管理主機發現。 • 實驗目的：透過網路監控雲端服務情形，並確認雲端內部是否有疑似跨VM攻擊或掃描。

21. 實驗方法與討論(11/24) • 實驗步驟： Step1：建置兩個雲端主機環境，以進行模擬一雲端VM主機對另VM主機攻擊。 Step2：其中一雲端主機使用Zenmap5.5.1工具透過對整個服務網段進行掃描以模擬Inter-VM攻擊。 Step3：透過管理主機確認目前雲端服務內的網路情況，確定內部網路是否異常。

22. 實驗方法與討論(12/24) • 實驗結果：在雲端主機進行掃描時，透過Wireshark或Process explorer可發現該雲端主機正對其他雲端主機進行掃描，可觀察駭客是否針對特定VM主機進行連線，則可進一步確認是否被攻擊之VM主機有漏洞，導致駭客掃瞄後進行攻擊。

23. 實驗方法與討論(13/24) • 駭客取得VM主機的完全控制權，攻擊步驟如下： Step1：申請雲端帳號，以使用內部電腦攻擊主機。 Step2：利用虛擬主機對DHCP主機發送惡意請求，而在大量發送後將導致DHCP主機發生Integer overflow及Integer underflow的弱點。

24. 實驗方法與討論(14/24) • Step3：藉著DHCP的漏洞，駭客繞過安全驗證機制，提高虛擬主機權限，進而取得完全控制權，進行Inter-VM的攻擊。

25. 實驗方法與討論(15/24)

26. 實驗方法與討論(16/24) • 實驗三：虛擬機器脫逸(VM escape) Virtual Machine Escape是駭客透過虛擬主機中所安裝的軟體或服務下手，對漏洞進行攻擊，取得權限和竊取資料。

27. 實驗方法與討論(17/24)

28. 實驗方法與討論(18/24) 攻擊步驟 Step1：進入主機確認提供的軟體、服務及開放的Port，目前VM環境的共享資源。Step2：透過NeBurute Scanner對網域掃描，發現一VM主機有開啟Port139及共用資料夾。 Step3：對雲端網路監控，發現有大量的SMB封包，可得知有使用者相互存取資料。 Step4：發現大量SMB封包後，確認是否為同一使用者擁有，否則通知主機中斷連線。

29. 實驗方法與討論(19/24)

30. 實驗方法與討論(20/24)

31. 實驗方法與討論(21/24)

32. 實驗方法與討論(22/24)

33. 實驗方法與討論(23/24)

34. 實驗方法與討論(24/24)

35. 結論 雲端防護已成為不容忽視的議題，管理者可整合防火牆、IDS、IPS及網路分析工具來搭配VM資源監測工具，將資安服務視為雲端運算業者一種品質保證，是雲端運算服務業的新趨勢。

36. Thank You