新型“whoAMI”攻击：利用AWS AMI名称混淆实现远程代码执行

近期，网络安全研究人员披露了一种新的攻击方式，称为“whoAMI”攻击。这种攻击利用了亚马逊云服务（AWS）中Amazon Machine Image（AMI）名称的混淆，允许任何发布特定名称的AMI的人在AWS账户中获得代码执行权限。根据Datadog Security Labs研究员Seth Art的报告，如果大规模执行，这种攻击可能会导致对成千上万账户的访问。

AWS AMI与名称混淆攻击

在深入了解whoAMI攻击之前，首先要明白什么是AWS AMI。Amazon Machine Image（AMI）是AWS提供的一个重要功能，它允许用户创建、存储和共享虚拟机的镜像。每个AMI都有一个唯一的名称和标识符，用户可以通过这些标识符来快速启动新的实例。

然而，这种名称的唯一性也带来了潜在的风险。攻击者可以利用名称混淆的方式，发布一个与合法AMI相似名称的恶意AMI。一旦用户不小心选择了这个恶意AMI，就会导致代码执行，从而使攻击者获取对用户AWS账户的控制权。

攻击的生效方式

whoAMI攻击的生效方式非常简单。攻击者首先创建一个与目标AMI名称相似的恶意AMI，然后将其发布到AWS平台。当目标用户在启动新的EC2实例时，如果不仔细检查AMI的实际来源和内容，可能会无意中选择了这个恶意AMI。这样一来，攻击者就可以在目标用户的AWS环境中执行任意代码，进而控制该账户。

这种攻击的危险性在于，它可以在大规模上进行。一旦攻击者成功发布了恶意AMI，多个AWS用户都可能受到影响。如果攻击者能够利用这种方式获取多个账户的控制权限，后果将不堪设想。

工作原理解析

从技术角度来看，whoAMI攻击依赖于AWS平台中对AMI名称管理的缺陷。AWS的设计允许用户在没有严格验证的情况下，自由地创建和共享AMI。这种灵活性虽然为用户提供了便利，但也为恶意用户创造了可乘之机。

具体来说，攻击者利用了以下几个方面：

1. 名称相似性：攻击者选择与热门或常用AMI名称相似的名称，从而诱使用户选择错误的AMI。

2. 缺乏验证机制：AWS对AMI的来源和内容缺乏严格的验证，用户在选择时很难区分恶意与合法的AMI。

3. 代码执行权限：一旦用户启动了恶意AMI，攻击者可以在该用户的AWS环境中执行任意代码，进而获取敏感信息或进行更大范围的攻击。

防范措施

为了保护自己免受whoAMI攻击的影响，用户可以采取以下几种防范措施：

1. 仔细检查AMI名称：在选择AMI时，务必仔细核对其名称和来源，确保选择的是可信的AMI。

2. 使用标签和元数据：对自己的AMI进行合理的标签和描述，以便于快速识别和管理。

3. 限制AMI的共享权限：在创建AMI时，限制其共享权限，确保只有授权用户可以访问。

4. 定期审计和监控：定期审计AWS账户中的AMI，监控是否有不明来源的AMI被添加。

其他相关技术

除了whoAMI攻击外，还有一些类似的攻击方式值得关注，例如：

• DNS重绑定攻击：此攻击利用DNS解析漏洞，诱使用户访问恶意网站。
• 开放重定向攻击：通过构造特定URL，攻击者可以将用户重定向到恶意网站。
• 社交工程攻击：利用人性弱点，通过伪装成可信源来获取用户的敏感信息。

结论

whoAMI攻击揭示了在云计算环境中，名称混淆可能带来的安全隐患。随着越来越多的企业和个人依赖云服务，了解并防范这种新型攻击变得愈发重要。通过采取适当的安全措施，用户可以在享受云计算便利的同时，减少潜在的安全风险。