避免雲端主機淪為跳板收到公有雲鉅額帳單

雲端參數調教工作坊系列報導

本文將以雲端主機最常發生的事件（被當成 DDoS 跳板機），探究其發生原因，以及如何透過了解雲端參數調教來防範此類攻擊。

文／果核數位雲端實驗室

---

隨著雲端運算的普及，企業將越來越多的業務遷移至雲端環境。然而，雲端環境並非萬無一失，仍存在著各種資安威脅，在雲端分享式安全責任中，雲端用戶應負的安全責任更是常被忽略的，導致雲端資安事件層出不窮。其中，雲端主機被駭客利用作為 DDoS 攻擊的跳板機，導致雲帳單刷爆，是常見且最有感的雲資安事件之一。

案例背景

在某企業的雲端主機上，因未能妥善配置安全設置，導致其主機被駭客利用，成為 DDoS 攻擊的跳板。攻擊者透過該主機發起大規模的流量攻擊，目標是其他企業的伺服器。此案例客戶的雲環境沒有定期檢視雲環境的配置，也沒有監控機制，在被利用成跳板的攻擊期間產生超額流量而不自知，而雲端是根據流量計費，此案例客戶在收到鉅額帳單時已經太遲了。

事件分析過程

通常每月初客戶都會定期收到雲端對帳單，卻發現帳單金額比平時超出甚多，檢視對帳單明細，發現流量費是主要超額帳單的原因，覺得不合理，立即與雲服務廠商聯繫，表達對帳單的疑慮並請求展開調查。

由於客戶環境並沒有啟用監控和日誌，雲資安架構師無從查找與分析，因此先從檢視雲環境的配置設定開始進行，檢視過程中發現網路存取規則有一條是對外可被公開存取（Public Accessible），且該異常網路存取規則是套用在資料庫主機上，初步判斷資料庫主機應不需要對外可被公開存取，同時也檢視客戶雲端環境即時流量，確認大量對外流量都是來至於該資料庫主機。至於為什麼會有這一條對外可被公開存取且套用在資料庫主機上，客戶表示可能是因為之前為了測試 PoC 所建立的。

[ 加入 CIO Taiwan 官方 LINE 與 Facebook ，與全球 CIO 同步獲取精華見解 ]

在和客戶確認後，立即關閉這條存取規則，當下，對外大量流量立即大幅減少，為了找出根本原因，雲資安架構師進入資料庫主機了解其系統使用與設定，發現資料庫為了提升效能使用 Memcached（Memcached 是用於加速網站和網路的資料庫快取系統），但 Memcached 存在 UDP 協定漏洞，易遭惡意人士使用放大攻擊，使資料庫主機去對外部進行 UDP 洪水 DDoS 攻擊（Flood DDoS），產生傳送大量網際網路流量的行為，因此建議客戶如果不需要，請務必停用 UDP 端口。

DDoS攻擊原理

DDoS（Distributed Denial of Service）攻擊是一種透過大量流量癱瘓目標伺服器或網路的攻擊手法。攻擊者通常會控制大量的機器（如殭屍電腦）向目標發送大量請求，使其無法正常回應合法用戶的請求，進而導致服務中斷。

DDoS 攻擊可分為以下幾種類型：

• 流量型 DDoS 攻擊： 透過大量的流量淹沒目標，使其無法處理。
• 協議型 DDoS 攻擊： 利用協議漏洞發送畸形數據包，消耗目標的資源。
• 應用層 DDoS 攻擊： 針對特定應用程式發起攻擊，例如 HTTP Flood、SQL Injection 等。

此案例的 DDoS 攻擊類型屬於流量型 DDoS 攻擊，這類型攻擊通常會伴隨傳送大量流量，這對以流量計費的雲端帳單是很傷荷包的。

雲端主機成為 DDoS 跳板機的原因

雲端主機之所以容易成為 DDoS 攻擊的跳板機，主要有以下幾個原因：

• 配置不當：雲端主機的初始配置未加強安全性，例如開放不必要的端口、過於寬鬆的網路存取控制和使用弱密碼等，很容易被成為資安破口。
• 漏洞未修補： 雲端主機的操作系統、應用程式若存在漏洞，駭客可利用這些漏洞取得控制權。
• 缺乏監控： 若未對雲端環境進行持續監控，無法即時發現異常活動和威脅事件，事實上，很多資安威脅與資料外洩事件是無感。
• 帳號被盜用： 駭客可能透過釣魚攻擊等手法盜取用戶的帳號與憑證，而帳號認證又沒有 MFA（多重身份驗證），很容易被控制雲端主機。

此案例中，客戶雲端環境有兩個因素導致，一是配置不當，網路存取控制設定對外可被公開存取和沒有停用不必要 UDP 端口，二是缺乏監控，即使因配置不當被利用成為 DDoS 跳板機，如果有監控偵測機制，也能立即知道資料庫主機有傳送大量網際網路流量的行為，不用等到收到鉅額帳單才發現。

列舉幾個 AWS 常見配置錯誤（Misconfiguration）的具體設定

• AWS Securiyt Group 規則設定
  來源位置為「0.0.0.0」存取你的 ssh 端口，這代表外部任何人都可以遠端登入你的雲端主機。（見圖一）

• S3 存取權為公有（Public Access）
  S3 為雲端物件儲存（Object Storage）服務，其存取權常被設定成公有（Block all public access 為 off），表示外部任何人都可以存取 S3 的資料，是常見的雲端資料外洩原因。（見圖二）

• IAM 使用者權限過大
  AWS IAM 權限政策（Permissions Policies）很細緻又很多，最佳實踐是讓雲端用戶僅被賦予必要的權限政策，但實際上是 IAM 使用者常被賦予管理者權限（AdministratorAccess）。（見圖三）

• EBS 儲存（Volume）未啟用加密
  在建立 EBS 儲存過程中，直接採用預設值，導致存放在 EBS 的資料是沒有被加密保護的。（見圖四）

• IAM 帳號未啟用多重身份驗證（MFA）
  建立 IAM 帳號過程中，忽略啟用多重身份驗證，只有單一密碼驗證保護，很容易遭遇到帳號被盜用。（見圖五）

• CloudTrail 稽核日誌未啟用或是被停用
  稽核日誌沒有啟用或被停用，表示雲端上的任何活動是沒有被記錄的，是無法發現雲端上異常活動和威脅事件。（見圖六）

雲端主機成為 DDoS 跳板機的防護措施

要如何避免雲端主機成為 DDoS 跳板機呢？
根據 Gartner 報告，到 2025 年 90% 以上的雲端安全事件都是人為的疏忽或錯誤導致。人為的疏忽或錯誤會導致配置不當，就是我們常聽到的 Misconfiguration，其實雲端和地端類似，要進行定期的安全配置檢查和持續性的監控，主要有以下幾個層面：

• 加強身份驗證： 採用多因素驗證（MFA）等強大的身份驗證機制，防止雲端帳號被盜用。
• 帳號權限訪問控制：根據最小權限原則，限制用戶對雲端資源的訪問權限。
• 網路存取控制原則：採最小原則，只允許合法使用者存取雲端服務，並禁止未經授權的訪問。
• 定期雲端資安健診：以最佳實務（CIS／Best Practices） 來檢測雲環境安全狀態。
• 持續雲端資安監控： 對雲端環境進行 24／7 SOC 資安監控，即時偵測發現風險與異常事件。

結語

雲端主機被當成 DDoS 跳板機是雲端資安最有感的資安事件，因為直接讓客戶的雲帳單爆量。攻擊者會利用雲端常見的配置錯誤來找出可被利用的雲端主機作為 DDoS 跳板機，企業應透過加強安全管控措施、定期檢視和持續性監控有效降低被攻擊的風險，保護自身的業務和客戶的信任，還有就是自己的荷包（費用）。

---

(本文授權非營利轉載，請註明出處：CIO Taiwan)