現今網站系統為求效能、提升吞吐量、增加可用性，都會使用類似CDN、建置mirror站、快取或者其他oo、xx技術，本議程講師會說明過往發生過的相關資安事件，並且從駭客角度探討這些安全問題。

1. 雲端分散架構的駭客事件
與安全問題
李倫銓
alan@hitcon.org
1

2. • HITCON CTF領隊與競賽負責人
• 交大資工所，台大電機所博士候選人，
聯發科技 IT 部門。
• 專長：網路安全相關技術、惡意程式
與流量分析、雲端服務規劃與研究。
2

3. 一個使用雲端資源建構
的網站系統架構示意圖
3

4. 2
1
3
5
6
CDN實作
安全問題
權限設定
不良
設備解析
問題
網站漏洞
Serverless
security4DB問題
雲端架構出過事的示意圖
4

5. 1. CDN傳輸層實作問題
5

6. 1. CDN傳輸層實作問題
用戶包括: Fitbit, Uber, 1Password, 的cloudflare在2017 2月，被google PZ
Tarvis發現有”伺服器記憶體洩漏漏洞”，可被前端http用特定方式取得
大量知名網站用戶資料外洩，受害者從約會網站、知名通訊服務、密
碼管理網站、成人影片網站、訂房網站等，外洩內容從完整HTTPS呼叫、
用戶端IP位址、通訊內容、cookies、個人機密資訊、密碼、API Key (不
過官方說不含用戶的SSL private Key!)
6

7. 用戶瀏覽器
網站系統Cloudflare
2017 Cloudbleed 漏洞說明
cloudflare的reverse proxy功能不僅僅
於CDN, 他多做了一些資安功能，像
是email混淆、server-side特定過濾、
自動https重寫，也由於加上這些功能，
他吸了很多server的資料，然後parser
出現bug，然後旁邊的人可以看到不
該看的
重點是這句…你要讓服務商幫你加速，你把東西給
了他 --- 可是你不會知道甚麼時候會出事 7

8. 有工具專門探查CDN 背後的real
server位置，以便於發動DDoS攻擊
8

9. 2. 權限設定不良
9

10. UpGuard發現共和黨委外的資料研究
公司將近2億的選民資料存放於不設防
的Amazon S3資料夾，資料達1.1TB，
任何人只要連上正確路徑就能存取這
些資料。
資料委外給資料研究公
司，但是權限沒管好
10

11. 11

12. 權限設定不良 - MongoDB 沒認證直接被存取
12

13. S3即便設定authentication header, 也須注
意應用程式是否有預設密碼或user設定
弱密碼能被try
13

14. 14
暴露在外並吸引勒索集團攻擊

15. 简要描述：
可获取VeryCloud任意CDN用户域名的日志，
达到预期攻击目的。
權限設定不良
15

16. 使用shodan來挖權限設定不良的S3
16

17. 17
与同样暴露大量数据的MongoDB相对比，Shodan发现的47,820台
MongoDB服务器上，仅25TB数据被暴露。

18. 其他綜合權限設定不良
•IAM 權限設定不良
•S3 bucket permission policy
•Security group 設定不良
•資料庫權限設定不良
•應用程式權限設定不良
18

19. 3.設備解析問題
19

20. 2016年陳建軍在CCS2016發表一篇論文” Host of Troubles”: 基於http協
定中，影響squid cache 處理HOST的歧異，來達到cache poison的目的，
一旦成功，後續的瀏覽者所瀏覽的cache將會是attack poison的內容。
20

21. 一個網站系統瀏覽過程中，所經歷的相關設備
防火牆 Proxy 透明缓存
Transparent Cache
CDN 網站
瀏覽器
A.com
B.com
確認請求 路由請求 緩存隔離
緩存隔離
路由請求 資源定位
根據Host of Troubles這篇的說明，其中，HTTP 協議中最關鍵的HOST，
如果能影響中間任一個設備，就有機會造成毒害(cache poison)。
21
節錄於Host of Troubles攻击, 陳建軍

22. 22
節錄於Host of
Troubles攻击, 陳
建軍

23. 23
節錄於Host of
Troubles攻击, 陳
建軍

24. 24
節錄於Host of
Troubles攻击, 陳
建軍

25. 節錄於Host of
Troubles攻击, 陳
建軍
25
目標:
人想連到victim.com，其
實看到attack.com(因為
cache資料!)
Absolute-URI

26. 節錄於Host of
Troubles攻击, 陳
建軍 26
讓中間的透明緩存被poison

27. 節錄於Host of
Troubles攻击, 陳
建軍
27
節錄於Host of
Troubles攻击, 陳
建軍

28. 節錄於Host of
Troubles攻击, 陳
建軍
28
節錄於Host of
Troubles攻击, 陳
建軍

29. 節錄於Host of
Troubles攻击, 陳
建軍
29
特定環境下，你還是可以瀏覽
disable.com
節錄於Host of
Troubles攻击, 陳
建軍

30. 30
出現多 host 攻擊或者 cache污染之所以嚴重，難以
處理之處也在於 Server根本無法處理，就連察覺是
那一路由部分出現問題都不好定位
節錄於Host of
Troubles攻击, 陳
建軍

31. 除了設備問題，有想過是刻意的嗎
31

32. 中國網民發現前端常常報錯，經過調查，
發現中國運營商會偷偷加載js
32

33. CIA攻擊包:Cherry Blossom植入路由器後門，可
以監控流量中的電子郵件、聊天名稱、mac
address、VOIP號碼等等
33

34. 解決方法 - 點對點加密
34

35. Google 透過chrome來統計https的普及率，目前
• 桌機用戶瀏覽網頁有50%透過https
• 而行動裝置使用https則普及率較低
35

36. Google 結合公開數據和私有數據來源，追蹤Internet上前100名非google
網站的https使用狀況，這些網站占全球網站流量25%
….
幾乎仍有一半知名網站允許http
採用https 預設https
amazon.co.jp ✔ ✔
amazon.co.uk ✔ ✔
amazon.com ✔ ✔
apple.com ✔ ✔
facebook.com ✔ ✔
taobao.com ✔ ✔
alibaba.com ✘ ✘
chinadaily.com.cn ✘ ✘
imdb.com ✘ ✘
naver.jp ✘ ✔
qq.com ✘ ✘
weibo.com ✘ ✘
….
….
36

37. 4. DB問題
37

38. 1. DB直接暴露在外 - CVE-2016-6662 MySQL RCE
2. DB權限設定問題 –
38

39. 4.Redis 塞入 SSH key 後可以登入受害主機
39
Redis 默认情况下，会绑定在 0.0.0.0:6379，
这样将会将 Redis 服务暴露到公网上
攻击者在未授权访问 Redis 的情况下可以利
用 Redis 的相关方法，可以成功在 Redis 服
务器上写入公钥，进而可以使用对应私钥直
接登录目标服务器

40. 5.網站系統漏洞
40

41. 4. 傳統網站系統漏洞
原因族繁不及備載，我們都知道，人腦會
寫出有洞的程式或設定錯誤，有洞就會讓
駭客入侵網站系統
網站應用程式漏洞
系統漏洞/設定不良
置換網頁
網站掛馬
脫庫
置換用戶軟體
問題點 導致
41

42. 過去2年被打進官網，原始專案放後門的案例
•2012 駭客盜入網站後將惡意程式碼植入開源專
案 Piwik 的安裝包
•Linux Mint 整個作業系統連hash都被改，你有想
過自己剛裝好的全新作業系統，就是隻肉雞嗎?
•常用的重要工具KMPlayer更新程式遭駭客下毒，
可側錄鍵盤、連線到C&C
42

43. 就算程式不會寫錯，那用的library?
43

44. Python package 钓鱼
• 2017/06/02 網路上出現了一篇文章，闡述作者在pyPI上投放惡意
的python包釣魚的過程。作者說在 2017-05-24 到 2017-05-31 期間
執行過pip install smb的人，都會被他收集username, hostname, ip ,
hostinfo..
凸顯攻擊開發者
環境，也是一種
脆弱點而且有效!
44

45. 45

46. 6. Serverless security
46

47. 歷史演進
Real
server
Virtual
machines
約2000年中
containers
約2013年
serverless
約2014年古代
47

48. Serverless好處
•不須考慮主機patch, 因為沒得patch, 沒得patch就代
表責任交給雲端廠商
•不用考慮DDoS loading問題，那是費用問題
48

49. 使用上的安全性 – 以lambda為例
• Function Access – 誰能修改/觸發Lambda
• Resource Permission – Lambda可以動用到那些AWS資源
• Resource Abuse – 任何人可以在特定條件下大量濫用使用資源嗎?
• Container security – 目前為止有沒有任何跳脫sandbox的漏洞?
• Code injection – 有可能指令被跳脫去執行預期外的命令?
49

50. 50
https://github.com/wickett/lambhack
• RSA conference 2017 公開的poc爛code
• A vulnerable Lambda + API gateway stack
Ref: RSA2017 severless security

51. 51
Cat /proc/version
Ref: RSA2017 severless security

52. 52
See /tmp
Ref: RSA2017 severless security

53. 53
另外一場33c3 (2016 /12 )作者講完之後，承諾要釋
出Persistent Lambda Malware PoC，但是到現在為止
還沒看到 Ref: Gone in 60 Milliseconds
Intrusion and Exfiltration in Server-less
Architectures

54. 如何確認?
• Function Access – 透過 cloudTrail, Lambda API
• Resource Permission – IAM role, CloudTrail
• Resource Abuse – CloudWatch, ?
• Container security – 密切注意資安通報?
• Code injection – 無解。 請做好過濾
54

55. AWS Lambda currently defaults to capping at 600 concurrent
function executions
Lambda有自動限制600個concurrent function execution
目前cloudwatch支援lambda metric，可以設定監控參數
並採取action
Lambda上限
55

56. conclusion
56

57. 講清楚，說明白: 資安權責區分 - 以AWS model為例
Shared Responsibility In The Cloud
57
CDN實作安
全問題
權限設定
不良
設備解析
問題
網站漏洞
Serverless
securityDB問題

58. AWS 的CTF : flaws.cloud , 從實戰經驗學習雲端設定問題
58
Level1 :S3 public權限不良
level2: S3 允許Any authenticated AWS Users 所以註冊一個AWS 帳號即可
Level3: aws access key管理不良，透過git diff將曾經誤傳的key還原
Level4: snapshot權限不良，任何人掛載這個ec2就可以取得裡面的資訊

59. 常見雲端架構缺失 – 以AWS為例
• 1. Overly Permissive S3 bucket Permissions
• 2. Disabled, Not Enabled, or Improperly Configured CloudTrail
• 3. Failure to Enable Logging on All S3 buckets
• 4. Broad IP Range Access for DB Security Groups
• 5. IAM Users Granted Direct Permissions , 避免用root account
• 6. VPC security groups allow inbound traffic from any IP address
• 7. Network ACLs allow All Inbound Traffic
• 8. Unintentionally Public AMIs
• 9.不要把key放github上
• 10直接塞權限給resource，而不是用access key去生/管 機器
59

60. Conclusion
看到了嗎? 最後一句是放下他
• 目前許多公有雲的安全，是被假設出來的，實際上仍存在許多”意外”
和”繞過”
• 歷史告訴我們，包括: 發憑證的、管憑證的、網路營運商、寫程式的、
作設備的、沒什麼真的能信任的。相信自己顧好的，結果毀在他們手
上。
• 駭客早已將苗頭轉向攻擊基礎軟體架構(軟體package)、佈署環節、外
包商，自己很難保證所有環節都能安全。
怎麼辦呢?
60，知道得越少，活的越快樂

61. 或者，另外一種選擇，可以來HITCON台灣駭
客年會多聽一點新的攻擊手法
61