Upload
doris-mcintosh
View
36
Download
1
Embed Size (px)
DESCRIPTION
雲端運算虛擬主機之攻擊模擬與分析. 作者 : 王 平 林文暉 周宇軒 呂仁貴 出處 :CCISA. COMMUN (2013) 報告人 : 陳鈺惠 日期 : 2013/05/08. 介紹. 1. VM 環境弱點分析. 2. 實驗 方法與討論. VM 環境威脅分析. 4. 3. 3. 3. 結論. - PowerPoint PPT Presentation
Citation preview
多媒體網路安全實驗室
雲端運算虛擬主機之攻擊模擬與分析
雲端運算虛擬主機之攻擊模擬與分析
作者 : 王平 林文暉 周宇軒 呂仁貴出處 :CCISA. COMMUN (2013) 報告人 : 陳鈺惠 日期 :2013/05/08
多媒體網路安全實驗室
3
1. 介紹 (1/4)
APP 大量開發與下載,部分系統弱點可威脅至雲端運算中的虛擬主機 (VM) 之安全。
將針對雲端安全中已知威脅進行攻擊模擬、探討其風險、模擬可行的防護方法。
多媒體網路安全實驗室
4
1. 介紹 (2/4)
台灣殭屍電腦佔全球 7% ,台北市是全球殭屍電腦數量最多的城市。
駭客透過殭屍網路攻擊的方式: ‧跨網站腳本攻擊
‧ 垃圾郵件 ‧APT 攻擊 ‧ 以 P2P 做媒介之搜尋引擎感染
多媒體網路安全實驗室
5
1. 介紹 (3/4)
手持裝置 APP 的安全漏洞將有兩大影響 ‧ 個資洩漏 ‧ 雲端服務之使用者身分認證安全
研究重點在於客戶端手持裝置安全與虛擬主機 (VM) 安全,本文將對雲端虛擬主機安全做說明。
多媒體網路安全實驗室
8
VM 環境弱點分析
Vmware
VMware 2008 被證實含有分享資料夾之跨目錄存取弱點,允許使用者在虛擬系統 (Guest) 與實體系統 (Host) 主機互相傳遞檔案。
CVE-2009-2277 Cookies允許接收
XSS 攻擊
多媒體網路安全實驗室
9
VM 環境弱點分析虛擬主機系統上之弱點分為六大類 ‧ 管理控制台弱點 (Management console)
‧ 管理伺服器弱點 (Management server)
‧ 監督虛擬機器弱點 (Administrative VM)
‧ 虛擬主機軟體弱點 (Hypervisor)
‧ 顧客虛擬機器弱點 (Guest VM)
‧ 虛擬主機軟體逸出 (Hypervisor escape)
多媒體網路安全實驗室
10
VM 環境威脅分析雲端運算首要安全威脅 ‧ 雲端運算被人濫用或惡意使用 ‧ 不具安全的應用程式開發介面 ‧ 不肖的內部人員 ‧ 共用基礎架構的問題 ‧ 非蓄意之資料外洩 ‧ 挾持帳戶或服務 ‧ 其他風險因素:與他人共用雲端廠商資源、 硬體軟體版本與軟體更新風險。
多媒體網路安全實驗室
11
實驗方法與討論( 1/24 )實驗一:雲端內部主機健檢—殭屍病毒對外連線之資安監控。實驗環境:
雲端系統 國網中心簡單龍雲端服務 -Ezilla
Host OS Windows 7 sp1
VM Guest OS Windows XP SP2
封包擷取工具 Wireshark 1.8.6
CPU Intel Core i5-3450
多媒體網路安全實驗室
13
實驗方法與討論 (3/24)
實驗目的:監控雲端伺服器的網路運作,防止伺服器做為跳板的中繼站。
實驗步驟:Step1: 本實驗採用 MD5 為02294ce2767628c1fd375dc575eea65f 之病毒。Step2 :雲端主機使用者缺乏警覺下載及執行殭屍病毒壓縮檔時,系統彈出視窗告知檔案毀損,並自動產生 sql.exe 及systeminfo.txt 檔案。
多媒體網路安全實驗室
15
實驗方法與討論 (5/24)
Step3 :執行完畢後該病毒將會自動刪除,並且將 sql.exe所產生的結果儲存至systeminfo.txt 中。Step4 :當檔案產生後,該殭屍主機將會把systeminfo.txt回傳至中繼站。
多媒體網路安全實驗室
17
實驗方法與討論 (7/24)
Step5 :透過雲端管理主機監控雲端服務內是否有連線至黑名單的 IP 主機。Step6 :當確認有連線至黑名單 IP後,將會通知該雲端主機使用者並強行停止該雲端服務主機的運作。
多媒體網路安全實驗室
18
實驗方法與討論 (8/24)
實驗結果與討論:透過病毒感染一段時間後,並在雲端管理主機中發現該殭屍主機,正連線至外部兩台黑主機。透過本實驗可對雲端內部網路進行監控,確認雲端內部網路與外部網路正常連線或攻擊,建置防火牆、 IDS 、 IPS等設備或工具,對雲端服務能做更進一步的監控與保護,並針對黑名單IP 進行過濾,可降低雲端服務的資安風險與法律問題。
多媒體網路安全實驗室
19
實驗方法與討論 (9/24)
實驗二: Inter-VM attacks實驗介紹:在 IaaS 服務中,有許多硬體共
享資源,常導致資料外洩等問題,本實驗重現駭客攻擊,透過網路封包監控,確認雲端是否有虛擬主機主持連線,如有則表示該雲端虛擬主機正在進行跨 VM 攻擊,或進行其他雲端服務主機漏洞之掃描。
多媒體網路安全實驗室
20
實驗方法與討論 (10/24)
實驗環境: LAB 模擬之雲端環境實驗方式:透過 Gordon Lyon 研發的
Zennap掃描工具進行測試,確認特定一雲端虛擬主機再針對雲端服務進行弱點掃描時,是否可被管理主機發現。
實驗目的:透過網路監控雲端服務情形,並確認雲端內部是否有疑似跨 VM 攻擊或掃描。
多媒體網路安全實驗室
21
實驗方法與討論 (11/24)
實驗步驟:Step1 :建置兩個雲端主機環境,以進行模擬一雲端 VM 主機對另 VM 主機攻擊。Step2 :其中一雲端主機使用 Zenmap5.5.1工具透過對整個服務網段進行掃描以模擬Inter-VM 攻擊。Step3 :透過管理主機確認目前雲端服務內的網路情況,確定內部網路是否異常。
多媒體網路安全實驗室
22
實驗方法與討論 (12/24)
實驗結果:在雲端主機進行掃描時,透過Wireshark 或 Process explorer 可發現該雲端主機正對其他雲端主機進行掃描,可觀察駭客是否針對特定 VM 主機進行連線,則可進一步確認是否被攻擊之 VM 主機有漏洞,導致駭客掃瞄後進行攻擊。
多媒體網路安全實驗室
23
實驗方法與討論 (13/24)
駭客取得 VM 主機的完全控制權,攻擊步驟如下:
Step1 :申請雲端帳號,以使用內部電腦攻擊主機。Step2 :利用虛擬主機對 DHCP 主機發送惡意請求,而在大量發送後將導致 DHCP 主機發生 Integer overflow 及 Integer underflow 的弱點。
多媒體網路安全實驗室
26
實驗方法與討論 (16/24)
實驗三:虛擬機器脫逸 (VM escape)
Virtual Machine Escape 是駭客透過虛擬主機中所安裝的軟體或服務下手,對漏洞進行攻擊,取得權限和竊取資料。
多媒體網路安全實驗室
28
實驗方法與討論 (18/24)
攻擊步驟Step1 :進入主機確認提供的軟體、服務及開放的 Port ,目前 VM 環境的共享資源。Step2 :透過 NeBurute Scanner 對網域掃描,發現一 VM 主機有開啟 Port139 及共用資料夾。Step3 :對雲端網路監控,發現有大量的SMB 封包,可得知有使用者相互存取資料。Step4 :發現大量 SMB 封包後,確認是否為同一使用者擁有,否則通知主機中斷連線。
多媒體網路安全實驗室
33
實驗方法與討論 (23/24)
實驗一:雲端內部主機健檢
攻擊方式 監控方式
施放會對外連線之病毒,使虛擬主機中毒並與惡意位址連線。
將雲端網路透過 Wireshark 進行封包監控,發現有黑名單 IP 連線
解決方案
建置防火牆、 IDS 、 IPS等設備工具,對目前已知的黑名單進行監控
實驗二: Inter-VM attacks
攻擊方式 監控方式
透過雲端內部主機對內部網段進行掃描蹦找出漏洞
將內部網路透過 Wireshark 進行封包監控,發現內部 IP 有互相連線情況
解決方案
透過封包監控確保是否有內部網路互聯的情況,或直接針對網路設備進行設定,使內部網路無法互相連線。
多媒體網路安全實驗室
34
實驗方法與討論 (24/24)
實驗三:虛擬機器脫逸 VM escape
攻擊方式 監控方式
透過雲端內部漏洞存取他人虛擬主機檔案
將內部網路透過 Wireshark 進行封包監控,發現內部網路有大量 SMB 封包
解決方案
1.停止雲端運算主機中不必要服務或軟體安裝2. 針對提供的作業系統或軟體進行持續更新,以修補已知的系統漏洞。
多媒體網路安全實驗室
35
結論
雲端防護已成為不容忽視的議題,管理者可整合防火牆、 IDS 、 IPS 及網路分析工具來搭配 VM 資源監測工具, 將資安服務視為雲端運算業者一種品質保證,是雲端運算服務業的新趨勢。