Amazon Web Services 的簡單通知服務（AWS SNS），是一種功能多樣的基于云的發布 / 訂閱服務，在促進應用程序與用戶間溝通方面發揮著重要作用。憑借可擴展性與集成能力，它成為眾多組織的得力工具。然而，部分不法分子將其濫用，用于數據泄露、網絡釣魚等惡意活動，由此引發了一系列嚴重的安全問題。本文將深入剖析 AWS SNS 被利用的機制，探討現實中濫用的場景，并提供切實可行的檢測與預防策略，助力組織深入了解 SNS 配置中潛藏的漏洞，借助有效的檢測手段，降低風險，強化云安全防護態勢。

AWS SNS：一把雙刃劍

AWS 簡單通知服務（SNS）作為基于云的發布 / 訂閱通信服務，允許用戶通過電子郵件、短信、移動推送通知等多種端點，向訂閱者發送通知。它主要基于應用程序到人（A2P）和應用程序到應用程序（A2A）這兩種工作流程運行。

其中，A2P 工作流雖旨在與 Lambda 和 SQS 等 AWS 服務實現無縫集成，但一旦配置失誤，便極有可能淪為被濫用的途徑。

SNS 具備過濾策略、服務器端加密（SSE）、傳送重試和死信隊列（DLQ）等功能，這些功能在增強其性能的同時，也可能被不法分子利用。SNS 強大的可擴展性，能夠在無需人工干預的情況下處理海量消息，為組織節省成本。然而，這種特性也讓不法分子有機可乘，他們能夠借助該服務開展大規模惡意活動，如發起網絡釣魚活動或實施數據泄露。

盡管 AWS SNS 架構較為穩固，但由于 IAM 角色配置不當、API 操作監控缺失以及日志記錄機制存在漏洞等問題，使得 SNS 易遭受濫用。舉例來說，不法分子能夠利用寬松的 IAM 策略創建主題、訂閱外部端點，并在不觸發警報的情況下發布敏感數據。同時，某些 API 操作（如失敗的發布請求）缺乏透明度，進一步加大了檢測難度。

SNS 中的加密機制主要聚焦于利用 AWS 密鑰管理服務（KMS）對靜態數據進行保護，這確實能夠保障個人身份信息（PII）等敏感數據的安全。不過，攻擊者可以通過利用數據傳輸過程中的加密漏洞，或者借助未受監控的端點，繞過這些防護措施。

白盒測試：模擬惡意行為

白盒測試為模擬對抗行為、驗證檢測能力提供了可控環境。與依賴惡意軟件二進制文件的基于端點的模擬不同，以云為核心的白盒測試借助 “脫離云端” 技術，充分利用現有的 API 驅動服務。這種方式對于分析針對 SNS 等 AWS 服務的策略、技術和程序（TTP）尤為有效。

在近期的一次白盒測試中，研究人員模擬了利用 SNS 進行數據泄露的場景，他們創建一個主題，將其作為向外部端點轉發被盜憑證的中介。該方法成功繞過了網絡 ACL 等傳統安全機制，充分表明攻擊者能夠輕易利用配置錯誤的基礎設施。

數據泄露工作流程

攻擊者通常遵循一套系統流程，通過 AWS SNS 竊取敏感數據：

· 初始訪問：借助攻擊易受攻擊的 Web 應用程序，或使用被盜憑證等手段，進入 EC2 實例。

· 憑證發現：識別本地文件（如.env 或 GitHub 憑證文件）中存儲的敏感信息。

· 主題創建：利用從 IMDSv2 獲取的臨時憑證創建 SNS 主題。

· 訂閱設置：將外部電子郵件地址或手機號碼注冊為主題的訂閱者。

· 數據發布：將敏感數據進行 Base64 編碼后，發布到主題進行分發。

通過 AWS SNS 進行數據泄露的可視化工作流程

這一流程充分顯示，一旦攻擊者獲得初始訪問權限，實施攻擊所需的操作極為簡便。通過利用 CLI 命令和 IAM 角色等原生 AWS 服務，不法分子能夠將惡意活動混入正常流量模式中。

AWS SNS 濫用最為令人擔憂的情形之一，便是其在短信網絡釣魚（SMS 網絡釣魚）活動中的應用。

SentinelOne 的研究發現，部分攻擊者利用基于 Python 的工具（如 SNS Sender），通過泄露的 AWS 憑證大規模發送欺詐性消息。這些活動借助經過身份驗證的 API 請求繞過安全措施，發送假冒可信實體的網絡釣魚消息。

此類活動的得逞，取決于攻擊者在 AWS 最終用戶消息傳遞服務中獲取生產級消息傳遞權限的能力。這需要監管機構對發起身份的批準以及運營商對大容量短信的預先批準，而經驗豐富的攻擊者能夠通過入侵已有權限的賬戶來突破這一障礙。

盡管濫用 AWS SNS 為攻擊者帶來諸多便利（如混入合法流量、繞過出口監控），但也存在一定挑戰：

· 初始訪問：需要利用 EC2 實例中的漏洞，或通過社會工程手段獲取憑證。

· 會話持久性：要在強大的端點保護中維持活動會話。

· 基礎設施設置：需使用適用于 SNS 操作的寬松策略配置 IAM 角色。

· 沙盒限制：需克服 AWS 對處于 SMS 沙盒模式的新賬戶施加的限制。

這些挑戰凸顯了主動安全措施的重要性，例如強化 IAM 策略，以及監控 CloudTrail 日志中的異常情況。

CloudTrail 審計日志與檢測規則

CloudTrail 審計日志是檢測與 SNS 濫用相關異常 API 操作的關鍵資源。安全團隊通過關注附加到 EC2 實例的假定角色，能夠識別出異常情況，比如罕見的主題創建或訂閱事件。利用 Elastic 的新條款邏輯，可以制定如下檢測規則，用于標記首次出現的可疑活動：

· 稀有用戶創建主題：識別假定角色意外創建 SNS 主題的情況。

· 使用外部電子郵件訂閱：監控指定外部端點的訂閱行為。

· 消息發布高峰：檢測直接電話消息傳遞活動的突然增加。

用于憑證檢查的 Bash 命令輸出

這些規則幫助組織精準定位潛在的濫用場景，同時通過上下文分析最大程度減少誤報。

威脅搜尋查詢

威脅搜尋查詢通過解析 CloudTrail 日志中的特定屬性（如用戶代理字符串或請求參數），能更深入洞察潛在危害。例如：

· 罕見主題創建：根據 EC2 實例 ID 和區域聚合數據，識別異常活動。

· 電子郵件訂閱：按協議類型過濾訂閱，檢測未經授權的外部端點。

· 直接消息峰值：跟蹤請求參數中帶有電話號碼的發布操作，揭露短信網絡釣魚活動。

這些查詢助力安全團隊依據異常信號確定調查優先級，同時隨著時間推移不斷完善檢測邏輯。

AWS SNS 作為強大的通信工具，為組織帶來諸多便利，但若缺乏監控或配置不當，便會潛藏巨大風險。上述研究揭示了不法分子如何利用其功能實施數據泄露、網絡釣魚等惡意活動。組織通過了解這些漏洞，借助 CloudTrail 日志和威脅搜尋查詢實施有力的檢測策略，能夠有效降低風險。主要建議如下：

· 運用最小特權原則（PoLP）強化 IAM 策略。

· 在 CloudTrail 和 CloudWatch 中啟用全面的日志記錄機制。

· 制定契合組織環境的異常檢測規則。

· 定期開展白盒測試，驗證安全控制效果。

隨著云環境持續演進，主動監控新興威脅，對于維持強大的安全態勢、防范 AWS SNS 等服務遭受惡意濫用至關重要。

參考及來源：https://gbhackers.com/aws-sns-exploited-for-data-exfiltration/