Mohammed-11cyber/AWS-CloudTrail-Forensic-Investigation

# AWS 云审计 法医调查 云事件响应和日志取证解析 AWS CloudTrail JSON遥测数据，绘制出多阶段 IAM 凭证泄露、权限提升和 S3 数据泄露的生命周期。 # 云事件响应：解析 AWS CloudTrail 以追踪凭证泄露 ## 项目描述 此事件响应调查详细描述了对模拟企业级 AWS 云环境入侵的取证事后分析。通过在 VS Code 中对原生 AWS CloudTrail JSON 日志转储进行分类，我重建了一个全面的、多阶段的攻击生命周期。调查成功追踪了攻击者从通过泄露的开发者凭证进行初始访问，到管理员权限提升、敏感数据泄露以及创建隐蔽的持久化立足点的整个过程。 ## 云取证方法和追踪的指标 * **日志解析与噪声过滤：** 分析了密集的 CloudTrail 结构，重点关注包括 eventTime、eventName、sourceIPAddress 和 userIdentity 参数在内的核心键，以区分标准自动化基础设施流量和外部攻击指标。 * **凭证追踪：** 隔离了泄露的生产 Access Key ID：AKIA_DEV_PROD_9982 的活动跟踪。 ## 重建的云攻击生命周期 ### 1. 初始访问和侦察 威胁行为者使用被盗的生产凭证字符串从 IP 地址 190.45.112.3 启动了入侵。初始日志基线捕捉到攻击者运行了自动化的 GetCallerIdentity 和 DescribeSnapshots API 调用，以绘制运行资源并验证当前角色权限。 ### 2. 管理员权限提升 为了绕过角色限制，攻击者在 2026-04-20T02:50:33Z 时间戳执行了一个高严重性的 PutUserPolicy API 调用。此操作修改了活动安全边界，授予泄露用户对整个 AWS 基础设施层的无限制管理权限。 ### 3. 数据收集和泄露 在绝对管理权限下，攻击者针对高价值存储基础设施。CloudTrail 日志捕捉到一个针对 S3 存储桶：top-secret-financials-2026 的 GetObject 调用，成功下载了一个名为 ceo_personal_taxes_2025.pdf 的高价值资产。同时，Secrets Manager 日志暴露了检索一个 Base64 加密的字符串。在 CyberChef 中的解密揭示了直接暴露了一个生产数据库字符串：P@ssword_Cloud_2026！ ### 4. 持久性和操作规避 为了确保一个未认证的后门，攻击者触发了 CreateUser 调用，将一个名为 support_service_backup 的恶意 IAM 身份证添加到环境中。为了规避检测并蒙蔽本地安全团队，攻击者执行了 UpdateAccessKey 操作，将原始泄露密钥状态设置为 Inactive，成功切断了合法用户操作，同时通过其二级后门身份保持控制。 ## 战略性事件修复 1. 立即吊销和轮换泄露的生产访问密钥，并强制删除恶意后门 IAM 配置文件。 2. 部署显式的服务控制策略（SCPs），以限制 PutUserPolicy 和 CreateUser 操作在验证的源 IP CIDR 块之外，并强制执行全局多因素身份验证。 ## 完整取证案例文件 PDF 完整的云取证分析——包括原始 CloudTrail JSON 片段、VS Code 环境解析屏幕和 CyberChef 解密配方——安全地托管在本存储库中。 请直接从上面的文件列表视图中下载完整的 PDF 报告以阅读说明案例摘要。

标签：Subfinder, 逆向工具