AWSDoor-新型持久化技术使攻击者能够在AWS云环境中隐藏恶意软件

攻击者正越来越多地利用复杂技术在云环境中维持长期访问，而一款名为AWSDoor的新出现工具正成为主要威胁。

AWSDoor可自动执行一系列身份与访问管理（IAM）和基于资源的持久化方法，使攻击者无需部署传统恶意软件就能在AWS账户中隐蔽活动。

1. AWSDoor 恶意程序通过注入访问密钥（AccessKeys）、植入后门篡改信任策略（TrustPolicies），隐秘地利用 AWS 身份与访问管理（IAM）服务实施攻击。

   （说明：“AWSDoor” 是针对 AWS 云环境的恶意工具 / 攻击家族名称；“IAM” 即 AWS 的 “身份与访问管理” 服务，负责控制云资源的访问权限；“AccessKeys” 是 AWS 用户用于 API 调用等操作的访问凭证；“TrustPolicies”（信任策略）是 IAM 中定义实体（如用户、角色）可被哪些主体信任的规则，篡改后可让攻击者获得未授权访问权限。）

2. 该恶意程序通过 “投毒” 的 Lambda 层（Lambda layers），实现基于云资源的持久化控制。

   （说明：“Lambda layers” 是 AWS Lambda 无服务器计算服务中用于存储代码依赖、库文件的可复用层；“poisoned”（投毒）指攻击者在 Lambda 层中植入恶意代码或篡改合法层；“resource-based persistence”（基于资源的持久化）是云环境攻击中常见的手法，通过篡改云资源配置（如 Lambda 层、角色权限等），确保攻击者在初始访问后仍能长期控制目标环境。）

3. （AWSDoor）会禁用 CloudTrail 日志记录功能、滥用 S3 生命周期规则，并解除账户关联（操作）。

   （说明：“CloudTrail” 是 AWS 用于记录 API 调用、资源操作等行为的日志服务，禁用后可掩盖攻击者的操作痕迹；“S3” 是 AWS 的对象存储服务，“S3 lifecycle rules”（S3 生命周期规则）用于自动管理存储对象（如迁移存储类别、删除过期对象），滥用可能导致数据泄露或破坏；“detaches accounts”（解除账户关联）指断开 AWS 组织中成员账户与管理账户的关联，干扰安全管控与应急响应。）

基于IAM的后门和恶意策略

RiskInsight报告称，AWSDoor滥用AWS身份与访问管理（IAM）来创建隐蔽的后门。通过向受感染的IAM用户注入访问密钥，攻击者可以确保命令行界面的持久性。只需一个简单的调用：

AWSDoor会创建新的AccessKey密钥对，授予攻击者控制的凭证，使其能混入合法流量。为了避免被检测到，该工具可以列出已有的密钥、停用未使用的密钥并清除证据。

除了访问密钥外，AWSDoor还通过操纵信任策略文档来植入IAM角色后门。

通过更新角色的信任策略以包含攻击者控制的主体，攻击者可确保获得持久的跨账户 AssumeRole 权限。

新策略从外部帐户注入允许st： AssumeRole的语句，授予对CloudTrail的简单凭据日志进行转义的持久、无凭据访问，读取报告。

AWSDoor的基于资源的持久化模块利用了AWS服务本身。例如，AdminLambda模块提供了一个恶意的Lambda函数或层，并附加了一个权限过高的角色：

在这里，-l 标志指示 AWSDoor 部署一个包含恶意库的 Lambda 层，这些恶意库会覆盖合法函数（例如，一个被植入后门的 requests.get()），确保该函数每次执行时都会触发代码执行。

通过API网关或函数URL暴露后，这个 Lambda就变成了一个远程shell。这种隐秘的策略将恶意代码隐藏在主函数体之外，绕过常规的控制台检查并规避嵌入式代码审查。

缓解措施

安全团队必须持续监控身份与访问管理策略的变更，特别是像CreateAccessKey（创建访问密钥）、UpdateAssumeRolePolicy（更新角色假设策略）和PutRolePolicy（放置角色策略）这类CloudTrail事件。

AWS Config自定义规则可以标记那些授予近乎管理员权限的异常NotAction语句：

此外，防御者应审计Lambda层附件（UpdateFunctionConfiguration）并验证任何可从外部访问的函数URL。

同时采用云安全态势管理（CSPM）和云端点检测与响应解决方案，将能够检测到异常的身份与访问管理（IAM）修改以及不寻常的运行时行为。

正如AWSDoor所展示的，攻击者正转向基于配置的持久化攻击，这使得警惕的政策审计和遥测完整性对于维护AWS环境安全至关重要。