Stratus Red Team项目中AWS组织退出攻击的IAM权限问题解析

问题背景

在Stratus Red Team项目(一个云安全测试工具)中，aws.defense-evasion.organizations-leave攻击技术模块用于模拟攻击者尝试退出AWS组织的场景。该模块通过创建一个IAM角色并尝试执行organizations:LeaveOrganization操作来测试防御机制。

技术问题分析

在实际使用过程中，当用户尝试执行该攻击技术时，会遇到一个特定的权限错误。错误信息显示用户未被授权执行sts:TagSession操作，导致角色假设失败。

深入分析发现，问题的根源在于IAM角色的信任策略配置不完整。原始代码中，角色的信任策略只包含了sts:AssumeRole和sts:SetSourceIdentity权限，而忽略了sts:TagSession权限。

问题原因

当用户通过带有会话标签的角色链(role chaining)来假设目标角色时，AWS会要求目标角色必须具有sts:TagSession权限才能接收和传播这些会话标签。这是AWS IAM服务的安全机制，确保标签信息的传递受到严格控制。

解决方案

通过修改IAM角色的信任策略，添加sts:TagSession权限，可以解决这一问题。修改后的信任策略允许接收和传播会话标签，使得角色假设过程能够顺利完成。

技术实现细节

修改后的IAM角色定义如下：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "sts:AssumeRole",
        "sts:SetSourceIdentity",
        "sts:TagSession"
      ],
      "Effect": "Allow",
      "Principal": {
        "AWS": "当前账户ID"
      }
    }
  ]
}

安全影响评估

添加sts:TagSession权限不会显著增加安全风险，因为：

1. 该权限仅影响会话标签的传递
2. 角色假设仍然受到其他权限限制
3. 该角色是临时创建用于测试的，不会长期存在

最佳实践建议

1. 在测试环境中使用角色链时，应预先考虑会话标签的传播需求
2. 对于需要接收会话标签的角色，确保其信任策略包含sts:TagSession
3. 测试完成后及时清理临时创建的角色

总结

这个案例展示了在云安全测试中，即使是简单的角色假设操作也可能因为会话标签的传递需求而失败。理解AWS IAM的会话标签传播机制对于成功执行安全测试至关重要。Stratus Red Team项目通过及时修复这一问题，确保了aws.defense-evasion.organizations-leave攻击技术的可靠执行。