DataDog/stratus-red-team项目：AWS IAM后门角色创建技术解析

在云安全领域，AWS身份和访问管理（IAM）是攻击者常利用的攻击面。DataDog的stratus-red-team项目近期新增了一项针对AWS IAM后门角色创建的技术实现，该技术展示攻击者在受害AWS账户中创建具备管理员权限的可跨账户担任角色。

技术背景

AWS IAM角色是一种授予特定权限的实体，可以被AWS用户、服务或其他AWS账户担任。攻击者通过创建具备高权限且允许外部AWS账户担任的IAM角色，可在失陷环境中建立持久性访问通道。这种技术比直接创建访问密钥更难被发现，因为角色信任关系往往容易被忽视。

技术实现要点

1. 角色创建：攻击者首先在目标AWS账户中创建一个新的IAM角色。该角色被赋予AdministratorAccess策略，使其具备账户的完全控制权限。

2. 跨账户信任配置：关键步骤是在角色的信任策略中配置外部AWS账户（攻击者控制的账户）作为信任实体。这使得攻击者可以从自己的AWS账户担任该角色，而无需在目标账户中留下访问密钥等传统凭据。

3. 隐蔽特性：与直接创建IAM用户或访问密钥相比，这种技术更难被发现。常规安全审计可能不会立即发现一个配置了外部信任关系的IAM角色。

防御建议

1. 最小权限原则：严格限制IAM角色的权限，避免赋予不必要的管理员权限。

2. 信任关系审计：定期审查所有IAM角色的信任关系策略，特别关注允许外部AWS账户担任的角色。

3. 变更监控：启用AWS CloudTrail日志记录，监控IAM角色创建和修改操作，设置异常行为告警。

4. SCP限制：在组织层面使用服务控制策略(SCP)限制跨账户角色创建，特别是限制允许的外部账户ID。

技术演进

这项技术是stratus-red-team项目中已有IAM后门角色技术的变种。原始技术主要关注修改现有角色的信任策略，而新实现则专注于创建全新后门角色。这种演进反映了攻击者不断变化的战术，也提醒防御者需要覆盖更全面的攻击面。

通过研究这类技术，安全团队可以更好地理解潜在威胁，完善检测和防御机制。stratus-red-team项目展示的技术为云安全防御提供了宝贵的测试案例。