cloud-audit 公有云 AK/SK 盗用检测工具

项目地址： https://github.com/al0ne/cloud-audit

cloud-audit （云安全审计助手）是检测公有云厂商 AK/SK 泄漏被利用的工具，通过定期调用云平台接口审计日志，基于异常行为/黑特征/基线发现疑似入侵行为。

特性

• 支持检测腾讯云平台 AK/SK 利用告警（异常行为）
  • 调用 AK/SK 创建命令/执行命令监控
  • 调用 AK/SK 添加子账户/删除子账户监控
  • 调用 AK/SK 跨 region 列 DB
  • 调用 AK/SK 跨 region 列实例
• 支持检测 AWS 云平台 AK/SK 利用告警（基线检测）
  • 调用 AK/SK 创建用户监控
  • 调用 AK/SK 列用户监控
  • 调用 AK/SK 列 S3 监控
  • 调用 AK/SK 列 DB 监控
  • 调用 AK/SK 提权监控
• 支持企业微信/Discord 告警通知

检测逻辑

云平台利用检测逻辑

在使用一些针对云平台利用工具时，这类工具通常的动作会包括扫描所有 region 下是否存在 RDS 实例，所有 region 下是否存在 ECS 实例或者容器等，创建/删除子账号，执行命令等。这些动作本身就属于比较敏感的操作，所以通过各个云平台的日志接口来获取这些动作。

还有一种则是根据来自非可信网段的敏感操作，正常都是 IDC 内网调用或者 IDC 出口 IP 调用，如果非企业可信网段出现 AK/SK 调用并且为高危操作则直接告警。

常见比较敏感的关键操作例如：

• CreateUser
• ListUsers
• ListBuckets
• DescribeInstances
• DescribeDBInstances
• AttachUserPolicy
• RunCommand/CreateCommand （腾讯云）

腾讯云检测

腾讯云与 AWS API 调用最大的不同在于，腾讯云可以通过 API 接口查询某个 AK id 的详细动作，但是 AWS 只能在平台上搜索，而不能通过 AK/SK 调用接口查询某个 AK id 的最近的执行信息

所以要检测腾讯云 AK/SK 的利用，就需要输入要监控线上业务使用的 AK id 列表，定期查看某个 AK id 执行的动作

AWS 检测

AWS 则只能根据 region 和动作来获取日志，通过 AK/SK 调用 CloudTrail 接口获取某个 region 下某个动作是否有日志，所以 AWS 更多是根据基线来判断的。