DataDog Stratus Red Team：AWS SSM SendCommand多实例攻击技术解析

背景概述

在云安全攻防演练中，AWS Systems Manager（SSM）的SendCommand功能常被攻击者滥用。DataDog开源的Stratus Red Team项目近期新增了对该攻击技术的模拟支持，特别关注了在多EC2实例场景下的命令执行能力。

技术原理

SSM SendCommand允许授权用户通过AWS API在托管实例上远程执行命令。当攻击者获取足够权限后，可以：

1. 批量选择目标实例
2. 发送任意Shell命令或脚本
3. 获取命令执行结果

该技术相比单实例攻击更具威胁性，能够实现横向移动和大规模主机控制。

实现细节

Stratus Red Team通过以下方式模拟该攻击：

1. 自动创建多个EC2测试实例
2. 为这些实例配置必要的SSM权限
3. 使用AWS SDK发送批量命令
4. 清理测试资源

关键技术点包括：

• Instance ID的动态获取
• 命令执行的异步处理
• 结果验证机制

防御建议

针对此类攻击，建议企业：

1. 严格限制SSM SendCommand的IAM权限
2. 实施命令审计日志记录
3. 启用CloudTrail监控异常API调用
4. 定期检查实例的SSM代理状态

项目意义

Stratus Red Team新增该攻击模拟能力，帮助安全团队：

• 测试现有防御体系的有效性
• 验证日志告警规则的覆盖度
• 训练SOC团队识别此类攻击

该项目持续更新云环境中的攻击技术模拟，是云安全测试的重要工具库。