云存储对象发现是指攻击者通过云服务提供商开放的API接口,系统化枚举存储桶、容器或数据库中的对象元数据,为后续数据窃取或权限提升攻击提供情报支撑。与传统本地存储枚举不同,该技术直接利用云平台标准化接口进行信息收集,具有协议合规、跨网络边界的特点。防御方通常通过监控异常API调用频次、检测非常规参数组合以及分析跨账户访问模式等手段进行防护。
为应对云平台日趋完善的行为分析机制,攻击者发展出融合分布式架构、协议逆向工程与合法服务滥用的新型隐匿技术,将对象枚举行为解构为多个低风险、高合法性的微操作,在规避检测的同时维持情报收集效能。
当前云存储对象发现匿迹技术的核心演进方向集中在云原生特性的武器化利用与多维行为特征伪装。攻击者通过构建动态自适应的API调用节奏控制系统,使探测行为完美匹配云服务商的速率限制策略;采用跨租户分布式架构将集中式扫描任务分解为多个低强度子任务,利用云平台多账户体系的隔离特性规避行为关联分析;深度解构云存储API协议规范,开发基于合法参数组合的元数据推导技术,将敏感信息获取过程伪装成常规业务操作。三类技术的共性在于突破传统网络层攻击特征,转而利用云服务生态的信任机制与业务逻辑漏洞,通过精准的协议合规性控制和资源分散策略,使恶意行为获得"云原生合法性"。
匿迹技术的发展导致传统基于API调用频次阈值告警的防护机制逐渐失效,防御方需构建基于多租户行为关联分析、API语义深度解析的检测体系,结合机器学习模型识别异常参数组合模式,并强化云服务商间的威胁情报共享,实现对隐蔽对象发现行为的精准阻断。
| 效应类型 | 是否存在 |
|---|---|
| 特征伪装 | ✅ |
| 行为透明 | ❌ |
| 数据遮蔽 | ✅ |
| 时空释痕 | ✅ |
攻击者通过精确模拟云存储API的合法调用模式,将对象枚举请求伪装成正常的业务数据管理操作。例如构造符合AWS S3 API规范的ListObjectsV2请求,使用标准化的请求头与认证令牌,使恶意流量与运维人员的日常管理操作在协议层面无法区分。部分高级攻击还会利用云平台SDK的合法功能模块封装探测行为,进一步强化交互行为的表面合规性。
在跨租户分布式枚举中,攻击者利用云服务商提供的HTTPS加密通道传输所有API请求和响应数据,防止中间节点对查询参数和返回结果的明文捕获。同时采用令牌化技术处理敏感元数据,在攻击控制端与云平台之间建立端到端加密通信,确保关键情报的传输过程不可被反向解析。
通过将集中式枚举任务拆解为跨多个云区域、跨不同时间窗口的离散请求,攻击者有效稀释单次操作的可检测性。例如利用云函数的全球部署特性,从不同地理区域的服务器发起存储桶探测请求,使防御方难以通过源IP聚类分析发现协同攻击行为。结合按月为周期的低频探测节奏,将攻击特征分散在云平台日志的海量合法操作记录中。
| ID | Name | Description |
|---|---|---|
| S1091 | Pacu |
Pacu can enumerate AWS storage services, such as S3 buckets and Elastic Block Store volumes.[1] |
| S0683 | Peirates |
| ID | Mitigation | Description |
|---|---|---|
| M1018 | User Account Management |
Restrict granting of permissions related to listing objects in cloud storage to necessary accounts. |
| ID | Data Source | Data Component | Detects |
|---|---|---|---|
| DS0010 | Cloud Storage | Cloud Storage Access |
Monitor for unusual queries to the cloud provider's storage service. Activity originating from unexpected sources may indicate improper permissions are set that is allowing access to data. Additionally, detecting failed attempts by a user for a certain object, followed by escalation of privileges by the same user, and access to the same object may be an indication of suspicious activity. |
| Cloud Storage Enumeration |
Monitor cloud logs for API calls used for file or object enumeration for unusual activity. System and network discovery techniques normally occur throughout an operation as an adversary learns the environment. Data and events should not be viewed in isolation, but as part of a chain of behavior that could lead to other activities, such as Collection and Exfiltration, based on the information obtained. |