Risma2025/Network-Traffic-Analysis-for-Threat-Hunting-and-Incindent-Response-on-OpenStack-Cloud-Environment

# OpenStack 云环境威胁狩猎与应急响应的网络流量分析 ## 网络流量分析：OpenStack 云环境入侵 (Vantage Sherlock, HTB) ## 📌 项目概述 本项目是对一个被入侵的 OpenStack 云环境进行的详细取证调查。通过分析网络流量（`.pcap` 文件），我利用 **Cyber Kill Chain** 框架还原了攻击者从初始侦察到完整数据窃取，再到建立持久化的整个攻击过程。 **场景：** 2025 年 7 月 1 日，在 `cloud.vantage.tech` 子域名上检测到了未经授权的访问。攻击者绕过了身份验证，窃取了 OpenStack API 凭证，并从 Swift 对象存储中窃取了敏感的 PII（个人身份信息）数据。 ## 🛡️ 概要总结 * **目标：** OpenStack 基础设施即服务。 * **攻击向量：** 子域名模糊测试 随后进行凭证暴力破解。 * **影响：** 窃取了 `user-details.csv`（28 条记录）和 `employee-details.csv`（50 条记录）。 * **持久化：** 未经授权创建了新的管理员用户 `jellibean`。 ### 📅 取证时间线 (2025 年 7 月 1 日) | 时间 (UTC) | 阶段 | 事件 | 来源/痕迹 | | :--- | :--- | :--- | :--- | | **09:38:00** | 侦察 | 对 `vantage.tech` 进行自动化模糊测试 | `ffuf/2.1.0` | | **09:40:07** | 初始访问 | 成功登录 Horizon 控制面板 | `admin` 账户 | | **09:40:29** | 凭证获取 | 下载 `admin-openrc.sh` | API 访问选项卡 | | **09:41:44** | 发现 | 枚举 Swift 对象存储 | `openstacksdk` | | **09:45:23** | 数据窃取 | 窃取 `user-details.csv`（28 条 PII 记录） | GET /v1/AUTH_.../ | | **09:45:47** | 数据窃取 | 窃取 `employee-details.csv`（50 条记录） | GET /v1/AUTH_.../ | | **09:48:02** | 持久化 | 创建恶意用户 `jellibean` | POST /v3/users | | **09:49:15** | 持久化 | 赋予 `jellibean` `admin` 角色 | PUT /v3/roles/ | ## 🕵️ 技术调查与 Kill Chain 映射 ### 1. 侦察 攻击者使用 **ffuf v2.1.0** 执行了目录和子域名枚举。 * **发现：** 识别出 `cloud.vantage.tech` 控制面板。 * **痕迹：** 包含 User-Agent `Fuzz Faster U Fool v2.1.0-dev` 的 HTTP GET 请求。 ### 2. 利用 攻击者将目标对准 Horizon 登录门户，并在 **09:40:07 UTC** 使用管理员凭证成功通过了身份验证。 ### 3. 安装与凭证窃取 进入控制面板后，攻击者导航至 **Project > API Access**。 * **痕迹：** 下载了 `admin-openrc.sh`。 * **影响：** 该文件包含了绕过 Horizon GUI 所需的 `OS_AUTH_URL` 和凭证。攻击者随后转向使用 **OpenStack SDK/CLI** 进行程序化的环境遍历。 ### 4. 目标行动（数据窃取） 攻击者使用窃取的 `X-Auth-Token` 系统性地枚举并清空了 Swift 对象存储容器。 * **目标容器：** `dev-files`、`employee-data` 和 `user-data`。 * **数据窃取 (09:45:23 UTC)：** 下载了 `user-details.csv`（28 条 PII 记录）。 * **数据窃取 (09:45:47 UTC)：** 下载了 `employee-details.csv`（50 条内部员工记录）。 * **工具：** 流量分析显示 `User-Agent: openstacksdk/4.6.0`，表明这是自动化或脚本化的数据窃取行为。 ### 5. 持久化 为了确保长期访问权限，攻击者采取了分两步的持久化操作： * **账户创建：** 向 `/v3/users` 发出 `POST` 请求以创建用户 `jellibean`（密码：`P@$$word`）。 * **权限提升：** 为 `jellibean` 账户分配了 **"admin" 角色**，即使在原始凭证被重置的情况下，也能授予其对云环境的完全控制权。 ## 🔍 威胁狩猎指标 | 类型 | 值 | 描述 | | :--- | :--- | :--- | | **IP 地址** | `134.209.71.220` | 攻击者源 IP | | **User-Agent** | `ffuf/2.1.0` | 初始发现工具 | | **User-Agent** | `openstacksdk/4.6.0` | API 交互与数据窃取工具 | | **文件名** | `user-details.csv` | 客户 PII 泄露 | | **文件名** | `employee-details.csv` | 内部企业情报泄露 | | **持久化** | `jellibean` | 恶意管理员账户 | ## 💡 建议与修复措施 * **身份验证：** 为 Horizon 控制面板和 API 访问实施多因素认证 (MFA)。 * **密钥管理：** 轮换所有 API 凭证，放弃使用明文 `.sh` 配置文件，转而使用安全的保险库 系统。 * **监控：** 针对涉及用户创建或角色分配的 Keystone API 发起的任何 `POST` 请求，启用实时警报。 * **网络：** 将 OpenStack API 端点限制为内部 IP 范围或仅限 VPN 访问。 ## 🛠️ 使用的工具 * **Wireshark：** 网络流量分析和 HTTP 流提取。 * **OpenStack SDK：** API 交互模式分析。 *本次调查是作为 Hack The Box 上 **Vantage Sherlock** 的一部分完成的。* https://labs.hackthebox.com/achievement/sherlock/2413013/1162

标签：API安全, Burp Suite 替代, Cyber Kill Chain, HackTheBox, HTB靶场, IaaS安全, JSON输出, OpenStack, pcap分析, PII泄露, PoC, Swift对象存储, Vantage Sherlock, Web安全, xlsx, 云基础设施, 云计算安全, 协议分析, 子域名爆破, 安全运营, 密码管理, 库, 应急响应, 扫描框架, 持久化后门, 数字取证, 数据外发, 暴力破解, 未授权访问, 杀伤链, 权限提升, 网络安全, 网络攻击还原, 网络流量分析, 自动化脚本, 蓝队分析, 隐私保护