raajheshkannaa/assumed-role

# 被盗用的角色 一部分为六章的云安全惊悚小说。 ## 这是什么 一部植根于真实 AWS 攻防技术的虚构网络安全故事。可以把它想象成《黑客军团》遇上云安全事件——技术准确、叙事引人入胜、以角色为驱动。每一个 CloudTrail 事件都是真实的。每一条 SQL 查询都是有效的。每一种攻击技术都能映射到 MITRE ATT&CK。 ## 阅读时间 约 12,000 字。45-60 分钟。 ## 章节 | # | 标题 | 字数 | 发生了什么 | |---|-------|-------|-------------| | 1 | [安静的警报](chapter-1-the-quiet-alert.md) | ~2,000 | 凌晨 2 点。一个警报。一名安全工程师。支付账户中出现了一个 `StopLogging` 事件。 | | 2 | [入侵之道](chapter-2-the-way-in.md) | ~2,000 | 被裁掉的承包商的访问密钥是如何流落到暗网的——以及 Maya 犯下的第一个错误。 | | 3 | [横向移动](chapter-3-lateral.md) | ~2,000 | 横跨 45 个账户的追捕。跨账户角色链。Maya 寻求帮助的那一刻。 | | 4 | [敞开的大门](chapter-4-the-open-door.md) | ~2,000 | 虚假的胜利。密钥被撤销。但 STS 会话依然存活——而且安全组（SG）的变更只是个诱饵。 | | 5 | [机器中的幽灵](chapter-5-ghosts-in-the-machine.md) | ~2,000 | 后门 IAM 用户。她从未编写过的检测规则。那个无意中促成数据泄露的承包商。 | | 6 | [新边界](chapter-6-new-perimeter.md) | ~2,000 | 遏制。最后一个错误。VEGA 临别的“礼物”。不再有任何永久性的东西。 | ## 附录 [技术参考](appendix-techniques.md) — 将每种技术映射到 MITRE ATT&CK、真实世界的事件以及实际使用的工具。 ## 内容警告 本故事纯属虚构。Meridian Financial 并非真实存在的公司。其中描述的技术是真实的，并记录在公开的 AWS 文档、安全研究以及事后分析报告中。本故事旨在教授防御知识，而非为攻击提供便利。 ## 角色 - **Maya** — 唯一的安全工程师。第一人称叙述者。用 CloudTrail 事件思考问题。 - **VEGA** — 职业数据掮客。购买被盗凭证。像防御者一样研究目标环境。他的逻辑内部自洽——这正是他的危险之处。 - **Marcus Chen** — 前承包商。卖掉了他忘记删除的凭证。并不知道他此举会带来什么后果。 - **Erik** — 工程副总裁。不是反派——只是分身乏术。 - **Kira** — 支付团队的高级开发人员。Maya 最接近盟友的人。 ## 背景 Meridian Financial。C 轮融资的金融科技公司，400 名员工，约 45 个 AWS 账户。支付处理业务。PCI-DSS 合规范围。只有一名安全工程师。 ## 核心主旨 你无法防御你看不见的东西。合规不等于安全。而且任何单个人都不应该承担整个安全团队的重任——无论他们有多优秀。 ## 许可证 © 2026 Raajhesh Kannaa Chidambaram。基于 [Creative Commons BY-NC-SA 4.0](https://creativecommons.org/licenses/by-nc-sa/4.0/) 许可证授权。欢迎自由分享。请注明原作者。未经许可不得用于商业用途。

标签：ATT&CK矩阵, AWS, Cloudflare, CloudTrail日志, CSV导出, DNS 解析, DPI, IAM策略, IT小说, JSONLines, MITRE ATT&CK, PE 加载器, STS会话, 云安全惊悚小说, 亚马逊云, 后门, 多线程, 子域名变形, 安全工程, 安全组, 安全运营, 扫描框架, 技术分析, 暗网, 横向移动, 真实案例改编, 编程规范, 网络信息收集, 网络安全, 网络安全故事, 网络安全教育, 访问密钥泄露, 身份与访问管理, 隐私保护, 零信任, 黑客小说