亚马逊AWS官方博客

如何利用 Amazon 威胁情报阻断威胁行为

亚马逊云科技的云基础设施中,我们每天都能侦测并成功阻断数百起可能造成破坏和重大损失的网络攻击事件。借助全球传感器网络和相关颠覆性工具,我们取得了这些重要但大多不为人知的胜利。利用这些功能,我们极大地增加了针对我们的网络、基础设施和客户进行网络攻击的难度和成本。同时,我们还与其他负责任的供应商合作,采取行动打击入侵其基础设施的威胁行为,以促进整个互联网的安全。将我们的全球威胁情报转化为快速行动,只是我们将安全作为首要任务所采取的众多举措之一。虽然这项工作永无止境,我们也在不断提升这方面的能力,但目前已经达到了一个阶段。在这个阶段,我们相信客户和其他利益相关者可以从了解我们目前所做的工作以及未来的发展方向中受益。

基于 Amazon Cloud 的全球威胁情报

利用所有云服务提供商中覆盖最广泛的公共网络,Amazon Cloud 让我们能够实时获得特定网络活动的全面信息。几年前,亚马逊科技云首席安全工程师 Nima Sharifi Mehr 利用这一优势开始探索新的方法来收集情报以应对网络威胁。我们的团队开始构建一套内部工具套件“MadPot”,并利用它成功检测、研究和阻止了可能影响客户的数千次网络攻击。

开发 MadPot 的目标有两个:首先,发现和监控威胁活动;其次,尽可能干扰黑客威胁活动,以保护亚马逊科技客户和其他网络用户的安全。MadPot 已经发展成一个复杂的监测传感器和自动响应系统。这些传感器每天在全球范围内观测超过1亿次的潜在威胁交互和探测行为,并发现大约 50 万次可被归类为恶意活动的事件。MadPot 系统会收集大量的威胁情报数据进行关联与分析,找出网络上可能发生的威胁活动。自动响应功能可以保护亚马逊科技云网络免受已识别威胁的攻击,并向其他公司发出外部通讯,告知其基础设施正遭受恶意攻击。

MadPot 被称为一种蜜罐系统——可设置用来诱捕恶意攻击者的诱饵,并作为长期有效的观测和威胁情报工具。更重要的是,我们利用 MadPot 系统获得了全面实时的信息,这主要得益于 Amazon Cloud 的强大功能和自动化程式。为了诱捕可被我们发现和干扰的恶意攻击者,我们设计了一个由大量伪装诱饵组成的系统。我们在一个受控的安全环境中模拟真实系统,通过观察并利用威胁活动信息,立即阻止威胁活动并保护客户免受网络攻击。

当然,恶意攻击者知道存在这样的系统,因此他们经常改变黑客技术,我们也是如此。我们投入大量资源确保 MadPot 不断升级和发展,以保持对恶意攻击者的战术、技术和程序的有效观察。我们迅速将这些情报应用于 Amazon 工具,如 Amazon ShieldAmazon WAF,通过启动自动响应来尽早防御各种威胁。在适当的时候,我们还通过 Amazon GuardDuty 向客户提供威胁情报数据,以便其利用自身工具和自动化程序做出响应。

三分钟快速响应,时间宝贵,不能浪费!

在 MadPot 模拟工作负载中启动新传感器后的大约 90 秒内,我们就能观察到该工作负载已被互联网扫描器探测到。在这之后,平均仅三分钟的时间,就会发生试图渗透和利用该工作负载的行为。考虑到这些工作负载并未公开,也并非对于恶意攻击者来说可见的其他系统的一部分,这时间短得惊人。这清楚展现了扫描活动的强度以及恶意攻击者为找到下一个攻击目标所采用技术的高度自动化程度。

在这些攻击行为过程中,MadPot 系统会分析恶意攻击者的行为特征,包括遥测数据、代码、尝试的网络连接以及其他关键数据点。随着我们梳理恶意攻击者的活动,这些信息变得更有价值,可以生成更完整的情报画像。

干扰恶意攻击,保障正常运行

MadPot 还进行深入的威胁情报分析。MadPot 系统会在沙盒环境中启动捕获的恶意软件,并将不同的信息连接成威胁模式等。当收集到足够多的信号或信息时,系统会尽可能采取行动瓦解威胁,例如切断恶意攻击者的资源与亚马逊云科技的网络连接。或者,可能会准备将这些信息与更广泛的社区共享,例如计算机应急响应团队、互联网服务提供商、域名注册商或政府机构,以便它们帮助瓦解已知威胁。

作为重要的网络服务提供商,亚马逊云科技有责任尽其所能协助并与网络安全企业合作。信息共享是网络安全行业一个具有多年历史的分支,也是我们多年来积极参与的领域。

2023 年第一季度:

  • 我们通过分析 55 亿笔互联网威胁传感器信号和 15 亿笔有源网络探针信号,成功防御了僵尸网络攻击;
  • 我们共计阻止了超过 130 万次由僵尸网络发动的出站分布式拒绝服务(DDoS)攻击;
  • 并针对近千个僵尸网络 C2 主机,与相关的托管服务提供商和域名注册商分享了我们的安全情报数据;
  • 此外,我们还追踪并与外部方合作,成功移除了 23 万次 L7/HTTP(S) DDoS 攻击来源。

MadPot 性能案例:僵尸网络、Sandworm

最近,MadPot 通过检测、收集和分析可疑信号,发现了一个分布式拒绝服务(DDoS)僵尸网络,该网络使用域名 free.bigbots.[tld](无一级域名)作为命令与控制(C2)域名。僵尸网络由被感染的合法用户系统——如计算机、家用路由器和物联网设备——组成,它们先前被植入了恶意软件,等待命令以向攻击目标发送网络数据包。使用这一 C2 域名的僵尸网络每小时发动 15-20 次 DDoS 攻击,速率约为每秒 8 亿个数据包。

MadPot 在进行威胁画像时,情报数据中出现了一个 IP 地址列表,这些地址由 C2 服务器使用,与僵尸网络发出的大量请求相对应。我们的系统立即阻止这些 IP 地址访问 Amazon 网络,以防止 Amazon Cloud 上被感染的客户计算节点参与攻击。然后,Amazon automation 利用收集到的情报数据联系了 C2 系统托管公司和 DNS 域名注册商。C2 系统托管公司在不到 48 小时内将 C2 系统下线,而域名注册商则在不到 72 小时内注销了该 DNS 域名。由于未能掌握 DNS 记录,恶意攻击者无法轻易通过将 C2 迁移到另一个网络位置来恢复网络。在不到三天的时间里,这个广泛传播的恶意软件和用于操作软件的 C2 基础设施变得无法运行,影响互联网各个系统的 DDoS 攻击就此停止了。

MadPot 在多种基础设施的恶意攻击者检测和分析方面极具实力,不仅限于云基础设施(包括恶意软件和端口),还能识别可能使用的技术。因此,借助 MadPot,我们成功侦测到了一个名为“Sandworm”的威胁组织,该组织与 Cyclops Blink 恶意软件相关。这一恶意软件用于控制由被感染路由器组成的僵尸网络。Sandworm 企图利用 WatchGuard 网络安全设备漏洞发动攻击。通过对负载进行深入分析,我们不仅检测到了 IP 地址,还发现了与 Sandworm 威胁相关的其他独特特征,这些特征涉及企图入侵亚马逊云科技某个客户网络的行动。MadPot 独特的功能允许它模拟多种服务,并与外部频繁交互,这有助于我们捕获更多关于 Sandworm 攻击活动的详细信息,例如攻击者瞄准的服务以及攻击者发起的后渗透命令。凭借这些情报,我们立即通知了被攻击的客户。随后,客户迅速采取行动来减轻漏洞的风险。如果没有及时采取行动,攻击者可能会成功进入客户的网络,并获取对其所服务的其他组织的访问权限。

利用全球威胁情报,为亚马逊云科技客户和其他网络用户服务

亚马逊云科技将安全视为第一要务,我们将竭尽所能,帮助防止安全问题对客户造成业务损失。为了保护我们的基础设施和客户数据安全,我们利用全球情报数据网络,实时收集海量安全情报,以确保系统自动保护客户安全。Amazon Security 及其系统将尽可能采用最有效的方法瓦解威胁;而这项工作通常在幕后进行。正如前文介绍的僵尸网络案例那样,我们利用全球威胁情报数据并与被直接攻击的组织合作,最终瓦解了网络威胁行为。我们将 MadPot 收集到的情报数据集成到 Amazon Security 工具中,包括预防性服务(如 Amazon WAFAmazon ShieldAmazon Network FirewallAmazon Route 53 Resolver DNS Firewall)和侦察响应服务(如 Amazon GuardDutyAmazon Security HubAmazon Inspector),在适当时将安全情报直接交到客户手中,让他们能够建立自己的响应程序和自动化功系统。

我们的工作不仅限于 Amazon 网络本身的安全防护和改进。我们还与全球各地的安全社群和合作企业密切合作,隔离并瓦解恶意攻击者。在今年上半年,我们与相关的托管服务提供商和域名注册商分享了近 2000 个僵尸网络 C2 主机的情报,帮助它们关闭僵尸网络的控制基础设施。此外,我们还追踪并与外部方合作,成功移除了 23 万次 L7 DDoS 攻击来源。我们的威胁防御策略的有效性在很大程度上依赖于我们快速捕获和分析威胁情报并采取行动的能力。通过采取这些措施,我们的服务不仅仅局限于传统的 DDoS 防御,而是将防御范围扩展到了国际层面。

我们很高兴能够在此分享有关 MadPot 的信息以及我们目前提供的一些服务和功能。有关更多信息,请参阅我们最近召开的亚马逊云科技 re:Inforce 会议上发表的演示文稿《Amazon 威胁情报如何成为托管式防火墙规则》以及我们今天发布的一篇综述文章《关于 MadPot —— Amazon 用于保护客户免受网络犯罪攻击的威胁情报工具》,其中介绍了有关负责开发 MadPot 的亚马逊科技云安全工程师的一些有用信息。展望未来,随着我们不断开发和增强威胁情报与响应系统,我们将取得更多的成就,为亚马逊科技云甚至整个互联网营造一个更安全的发展生态。

如果您有任何问题,欢迎联系亚马逊云科技支持中心


Original URL: https://aws.amazon.com/blogs/security/how-aws-threat-intelligence-deters-threat-actors/

本篇作者

Mark Ryland

Mark 是 Amazon 的一名安全总监,常驻弗吉尼亚州。他拥有科技行业 30 多年工作经验,在网络安全、软件工程、分布式系统、技术标准化和公共政策等领域担任过领导职务。作为亚马逊科技云的一名老将,Mark 在过去的 12 年中担任亚马逊科技云全球公共部门的解决方案架构与专业服务总监,并于近期设立了亚马逊科技云首席信息安全官办公室,担任负责人。