雲端運算虛擬主機之攻擊模擬與分析

多媒體網路安全實驗室

雲端運算虛擬主機之攻擊模擬與分析

雲端運算虛擬主機之攻擊模擬與分析

作者 : 王平林文暉周宇軒呂仁貴出處 :CCISA. COMMUN (2013) 報告人 : 陳鈺惠日期 :2013/05/08


Outline

介紹1

VM 環境弱點分析2

VM 環境威脅分析33

2

實驗方法與討論34

結論45


3

1. 介紹 (1/4)

APP 大量開發與下載，部分系統弱點可威脅至雲端運算中的虛擬主機 (VM) 之安全。

將針對雲端安全中已知威脅進行攻擊模擬、探討其風險、模擬可行的防護方法。


4

1. 介紹 (2/4)

台灣殭屍電腦佔全球 7% ，台北市是全球殭屍電腦數量最多的城市。

駭客透過殭屍網路攻擊的方式： ‧跨網站腳本攻擊

‧ 垃圾郵件 ‧APT 攻擊 ‧ 以 P2P 做媒介之搜尋引擎感染


5

1. 介紹 (3/4)

手持裝置 APP 的安全漏洞將有兩大影響 ‧ 個資洩漏 ‧ 雲端服務之使用者身分認證安全

研究重點在於客戶端手持裝置安全與虛擬主機 (VM) 安全，本文將對雲端虛擬主機安全做說明。


6

1. 介紹 (4/4)

虛擬主機是一個安裝正常主機作業系統，透過軟體及硬體模擬之完全隔離客戶作業系統。

透過切割不同網域提供服務。


7

VM 環境弱點分析VM 攻擊技巧 ‧ 網路嗅聞 (Sniffing)

‧ 封包擷取 (Capturing)

‧ 修改移轉連線之資訊


8

VM 環境弱點分析

Vmware

VMware 2008 被證實含有分享資料夾之跨目錄存取弱點，允許使用者在虛擬系統 (Guest) 與實體系統 (Host) 主機互相傳遞檔案。

CVE-2009-2277 Cookies允許接收

XSS 攻擊


9

VM 環境弱點分析虛擬主機系統上之弱點分為六大類 ‧ 管理控制台弱點 (Management console)

‧ 管理伺服器弱點 (Management server)

‧ 監督虛擬機器弱點 (Administrative VM)

‧ 虛擬主機軟體弱點 (Hypervisor)

‧ 顧客虛擬機器弱點 (Guest VM)

‧ 虛擬主機軟體逸出 (Hypervisor escape)


10

VM 環境威脅分析雲端運算首要安全威脅 ‧ 雲端運算被人濫用或惡意使用 ‧ 不具安全的應用程式開發介面 ‧ 不肖的內部人員 ‧ 共用基礎架構的問題 ‧ 非蓄意之資料外洩 ‧ 挾持帳戶或服務 ‧ 其他風險因素：與他人共用雲端廠商資源、硬體軟體版本與軟體更新風險。


11

實驗方法與討論（ 1/24 ）實驗一：雲端內部主機健檢—殭屍病毒對外連線之資安監控。實驗環境：

雲端系統國網中心簡單龍雲端服務 -Ezilla

Host OS Windows 7 sp1

VM Guest OS Windows XP SP2

封包擷取工具 Wireshark 1.8.6

CPU Intel Core i5-3450


12

實驗方法與討論 (2/24)


13


實驗目的：監控雲端伺服器的網路運作，防止伺服器做為跳板的中繼站。

實驗步驟：Step1: 本實驗採用 MD5 為02294ce2767628c1fd375dc575eea65f 之病毒。Step2 ：雲端主機使用者缺乏警覺下載及執行殭屍病毒壓縮檔時，系統彈出視窗告知檔案毀損，並自動產生 sql.exe 及systeminfo.txt 檔案。


14



15


Step3 ：執行完畢後該病毒將會自動刪除，並且將 sql.exe所產生的結果儲存至systeminfo.txt 中。Step4 ：當檔案產生後，該殭屍主機將會把systeminfo.txt回傳至中繼站。


16



17


Step5 ：透過雲端管理主機監控雲端服務內是否有連線至黑名單的 IP 主機。Step6 ：當確認有連線至黑名單 IP後，將會通知該雲端主機使用者並強行停止該雲端服務主機的運作。


18


實驗結果與討論：透過病毒感染一段時間後，並在雲端管理主機中發現該殭屍主機，正連線至外部兩台黑主機。透過本實驗可對雲端內部網路進行監控，確認雲端內部網路與外部網路正常連線或攻擊，建置防火牆、 IDS 、 IPS等設備或工具，對雲端服務能做更進一步的監控與保護，並針對黑名單IP 進行過濾，可降低雲端服務的資安風險與法律問題。


19


實驗二： Inter-VM attacks實驗介紹：在 IaaS 服務中，有許多硬體共

享資源，常導致資料外洩等問題，本實驗重現駭客攻擊，透過網路封包監控，確認雲端是否有虛擬主機主持連線，如有則表示該雲端虛擬主機正在進行跨 VM 攻擊，或進行其他雲端服務主機漏洞之掃描。


20


實驗環境： LAB 模擬之雲端環境實驗方式：透過 Gordon Lyon 研發的

Zennap掃描工具進行測試，確認特定一雲端虛擬主機再針對雲端服務進行弱點掃描時，是否可被管理主機發現。

實驗目的：透過網路監控雲端服務情形，並確認雲端內部是否有疑似跨 VM 攻擊或掃描。


21


實驗步驟：Step1 ：建置兩個雲端主機環境，以進行模擬一雲端 VM 主機對另 VM 主機攻擊。Step2 ：其中一雲端主機使用 Zenmap5.5.1工具透過對整個服務網段進行掃描以模擬Inter-VM 攻擊。Step3 ：透過管理主機確認目前雲端服務內的網路情況，確定內部網路是否異常。


22


實驗結果：在雲端主機進行掃描時，透過Wireshark 或 Process explorer 可發現該雲端主機正對其他雲端主機進行掃描，可觀察駭客是否針對特定 VM 主機進行連線，則可進一步確認是否被攻擊之 VM 主機有漏洞，導致駭客掃瞄後進行攻擊。


23


駭客取得 VM 主機的完全控制權，攻擊步驟如下：

Step1 ：申請雲端帳號，以使用內部電腦攻擊主機。Step2 ：利用虛擬主機對 DHCP 主機發送惡意請求，而在大量發送後將導致 DHCP 主機發生 Integer overflow 及 Integer underflow 的弱點。


24


Step3 ：藉著 DHCP 的漏洞，駭客繞過安全驗證機制，提高虛擬主機權限，進而取得完全控制權，進行 Inter-VM 的攻擊。


25



26


實驗三：虛擬機器脫逸 (VM escape)

Virtual Machine Escape 是駭客透過虛擬主機中所安裝的軟體或服務下手，對漏洞進行攻擊，取得權限和竊取資料。


27



28


攻擊步驟Step1 ：進入主機確認提供的軟體、服務及開放的 Port ，目前 VM 環境的共享資源。Step2 ：透過 NeBurute Scanner 對網域掃描，發現一 VM 主機有開啟 Port139 及共用資料夾。Step3 ：對雲端網路監控，發現有大量的SMB 封包，可得知有使用者相互存取資料。Step4 ：發現大量 SMB 封包後，確認是否為同一使用者擁有，否則通知主機中斷連線。


29



30



31



32



33


實驗一：雲端內部主機健檢

攻擊方式監控方式

施放會對外連線之病毒，使虛擬主機中毒並與惡意位址連線。

將雲端網路透過 Wireshark 進行封包監控，發現有黑名單 IP 連線

解決方案

建置防火牆、 IDS 、 IPS等設備工具，對目前已知的黑名單進行監控

實驗二： Inter-VM attacks


透過雲端內部主機對內部網段進行掃描蹦找出漏洞

將內部網路透過 Wireshark 進行封包監控，發現內部 IP 有互相連線情況

解決方案

透過封包監控確保是否有內部網路互聯的情況，或直接針對網路設備進行設定，使內部網路無法互相連線。


34


實驗三：虛擬機器脫逸 VM escape


透過雲端內部漏洞存取他人虛擬主機檔案

將內部網路透過 Wireshark 進行封包監控，發現內部網路有大量 SMB 封包

解決方案

1.停止雲端運算主機中不必要服務或軟體安裝2. 針對提供的作業系統或軟體進行持續更新，以修補已知的系統漏洞。


35

結論

雲端防護已成為不容忽視的議題，管理者可整合防火牆、 IDS 、 IPS 及網路分析工具來搭配 VM 資源監測工具，將資安服務視為雲端運算業者一種品質保證，是雲端運算服務業的新趨勢。


Documents

雲端運算虛擬主機之攻擊模擬與分析