Các tác nhân đe dọa ngày càng nhắm mục tiêu vào các dịch vụ ghi nhật ký đám mây để né tránh phát hiện và duy trì khả năng hiển thị liên tục vào các môi trường bị xâm nhập. Các dịch vụ này, được thiết kế như một lớp bảo mật quan trọng, giờ đây đang bị vũ khí hóa để tạo ra các điểm mù trong cơ sở hạ tầng đám mây. Việc hiểu rõ các mối đe dọa này là rất quan trọng để bảo vệ hệ thống.
Lợi dụng Dịch vụ Ghi nhật ký Đám mây
Các nền tảng ghi nhật ký đám mây như AWS CloudTrail và Google Cloud Logging là nguồn thông tin chính để theo dõi hoạt động trên các môi trường đám mây. Các nhóm bảo mật phụ thuộc rất nhiều vào các nhật ký này để cung cấp dữ liệu cho các công cụ SIEM, SOAR và CSPM.
Tuy nhiên, những kẻ tấn công có đủ quyền hạn có thể thao túng các hệ thống này. Mục tiêu của họ là phá vỡ khả năng hiển thị hoặc thậm chí trích xuất nhật ký để phục vụ cho việc giám sát của riêng họ.
Các Chiến thuật Tấn công Chính
Các nhà nghiên cứu đã phân loại các cuộc tấn công này thành hai chiến thuật chính: né tránh phòng thủ (defense evasion) và khả năng hiển thị liên tục (continuous visibility). Trong các kịch bản né tránh phòng thủ, kẻ tấn công tập trung vào việc vô hiệu hóa hoặc can thiệp vào các cơ chế ghi nhật ký để tránh bị phát hiện.
Vô hiệu hóa Cơ chế Ghi nhật ký
Một trong những kỹ thuật đơn giản nhất là ngừng hoàn toàn việc thu thập nhật ký. Trong AWS, kẻ tấn công có quyền CloudTrail:StopLogging có thể tạm dừng ghi nhật ký thông qua các lệnh gọi API, ngay lập tức làm mù các hệ thống giám sát.
Tương tự, trong Google Cloud, kẻ tấn công có thể vô hiệu hóa các điểm thoát nhật ký (logging sinks) bằng cách sử dụng quyền logging.sinks.update.
Xóa Điểm lưu trữ Nhật ký
Một kỹ thuật phổ biến khác là xóa các điểm lưu trữ nhật ký. Ví dụ, kẻ tấn công có quyền s3:DeleteBucket có thể xóa các bucket lưu trữ nhật ký CloudTrail, xóa bằng chứng pháp lý.
Trong Google Cloud, các bucket nhật ký cũng có thể bị xóa, nhưng chúng sẽ chuyển sang trạng thái xóa trễ, cung cấp một khoảng thời gian phục hồi hạn chế.
Can thiệp vào Mã hóa Nhật ký
Những kẻ tấn công tinh vi hơn có thể làm hỏng việc ghi nhật ký bằng cách thao túng các khóa mã hóa. Bằng cách thay thế các khóa AWS KMS hợp pháp bằng các khóa do kẻ tấn công kiểm soát và sau đó thu hồi quyền truy cập, nhật ký sẽ trở nên không thể đọc được hoặc không thể ghi hoàn toàn.
Một cuộc tấn công tương tự có thể thực hiện được trong Google Cloud bằng cách sử dụng các khóa mã hóa do khách hàng quản lý (CMEK), về cơ bản khóa người phòng thủ ra khỏi nhật ký của chính họ.
Ngộ độc Nhật ký (Log Poisoning)
Ngộ độc nhật ký là một kỹ thuật lén lút khác. Kẻ tấn công có quyền truy cập ở cấp đối tượng có thể tải xuống, sửa đổi và tải lại các tệp nhật ký được lưu trữ trong các dịch vụ như Amazon S3. Điều này làm tổn hại tính toàn vẹn của dữ liệu và đánh lừa các nhóm ứng phó sự cố.
Sử dụng Hệ thống Ghi nhật ký để Giám sát Liên tục
Ngoài việc né tránh, kẻ tấn công còn tận dụng các hệ thống ghi nhật ký để có khả năng hiển thị liên tục. Thay vì kích hoạt cảnh báo bằng cách do thám tích cực, kẻ tấn công có thể cấu hình các cơ chế định tuyến nhật ký mới để gửi bản sao của nhật ký đến các môi trường do kẻ tấn công kiểm soát.
Trong AWS, điều này bao gồm việc tạo các trail CloudTrail mới trỏ đến các bucket S3 bên ngoài. Trong Google Cloud, kẻ tấn công lạm dụng các điểm thoát nhật ký để chuyển hướng nhật ký.
Chuyển hướng Nhật ký
Việc chuyển hướng nhật ký đặc biệt nguy hiểm vì nó truyền dữ liệu hoạt động theo thời gian thực một cách âm thầm. Điều này bao gồm các thay đổi IAM, triển khai VM và các sự kiện truy cập dữ liệu, tới các tác nhân đe dọa.
Điều này cho phép giám sát dài hạn và di chuyển ngang chiến lược mà không gây ra cảnh báo ngay lập tức. Tác động của các kỹ thuật này dao động từ mất khả năng hiển thị đến duy trì sự hiện diện bí mật và trích xuất dữ liệu.
Phát hiện và Giảm thiểu Rủi ro
Để giảm thiểu các rủi ro bảo mật này, các tổ chức phải thực thi các biện pháp kiểm soát truy cập nghiêm ngặt đối với các tài nguyên ghi nhật ký. Các quyền quan trọng như update-trail, logging.sinks.update và các sửa đổi bộ nhớ phải được giới hạn cho các vai trò có đặc quyền cao.
Các Biện pháp Kỹ thuật và Cấu hình
Việc kích hoạt các tính năng xác thực tính toàn vẹn, chẳng hạn như xác thực tệp nhật ký AWS CloudTrail, có thể giúp phát hiện sự can thiệp. Tham khảo tài liệu chính thức của AWS về Xác thực Tệp Nhật ký CloudTrail để biết chi tiết kỹ thuật.
Các nhà cung cấp đám mây cũng cung cấp các biện pháp bảo vệ tích hợp. AWS duy trì lịch sử sự kiện bất biến 90 ngày đối với các hành động quản lý, trong khi Google Cloud cung cấp các bucket nhật ký do hệ thống tạo không thể bị sửa đổi hoặc xóa.
Tuy nhiên, những biện pháp bảo vệ này có thể không bao phủ tất cả các kịch bản ghi nhật ký, đặc biệt là trong các cấu hình tùy chỉnh. Các tổ chức phải coi các đường ống dẫn nhật ký là tài sản quan trọng và triển khai các biện pháp phòng thủ phân lớp để đảm bảo khả năng hiển thị không bị xâm phạm trong quá trình tấn công.
Việc liên tục cập nhật bản vá và đánh giá cấu hình bảo mật là cần thiết để đối phó với các chiến thuật tấn công ngày càng phát triển nhằm vào các dịch vụ ghi nhật ký đám mây.
