摘要：Amazon Web Services 的简单通知服务（AWS SNS），是一种功能多样的基于云的发布 / 订阅服务，在促进应用程序与用户间沟通方面发挥着重要作用。

导语：Amazon Web Services 的简单通知服务（AWS SNS），是一种功能多样的基于云的发布 / 订阅服务，在促进应用程序与用户间沟通方面发挥着重要作用。

Amazon Web Services 的简单通知服务（AWS SNS），是一种功能多样的基于云的发布 / 订阅服务，在促进应用程序与用户间沟通方面发挥着重要作用。凭借可扩展性与集成能力，它成为众多组织的得力工具。然而，部分不法分子将其滥用，用于数据泄露、网络钓鱼等恶意活动，由此引发了一系列严重的安全问题。本文将深入剖析 AWS SNS 被利用的机制，探讨现实中滥用的场景，并提供切实可行的检测与预防策略，助力组织深入了解 SNS 配置中潜藏的漏洞，借助有效的检测手段，降低风险，强化云安全防护态势。

AWS SNS：一把双刃剑

AWS 简单通知服务（SNS）作为基于云的发布 / 订阅通信服务，允许用户通过电子邮件、短信、移动推送通知等多种端点，向订阅者发送通知。它主要基于应用程序到人（A2P）和应用程序到应用程序（A2A）这两种工作流程运行。

其中，A2P 工作流虽旨在与 Lambda 和 SQS 等 AWS 服务实现无缝集成，但一旦配置失误，便极有可能沦为被滥用的途径。

SNS 具备过滤策略、服务器端加密（SSE）、传送重试和死信队列（DLQ）等功能，这些功能在增强其性能的同时，也可能被不法分子利用。SNS 强大的可扩展性，能够在无需人工干预的情况下处理海量消息，为组织节省成本。然而，这种特性也让不法分子有机可乘，他们能够借助该服务开展大规模恶意活动，如发起网络钓鱼活动或实施数据泄露。

尽管 AWS SNS 架构较为稳固，但由于 IAM 角色配置不当、API 操作监控缺失以及日志记录机制存在漏洞等问题，使得 SNS 易遭受滥用。举例来说，不法分子能够利用宽松的 IAM 策略创建主题、订阅外部端点，并在不触发警报的情况下发布敏感数据。同时，某些 API 操作（如失败的发布请求）缺乏透明度，进一步加大了检测难度。

SNS 中的加密机制主要聚焦于利用 AWS 密钥管理服务（KMS）对静态数据进行保护，这确实能够保障个人身份信息（PII）等敏感数据的安全。不过，攻击者可以通过利用数据传输过程中的加密漏洞，或者借助未受监控的端点，绕过这些防护措施。

白盒测试：模拟恶意行为

白盒测试为模拟对抗行为、验证检测能力提供了可控环境。与依赖恶意软件二进制文件的基于端点的模拟不同，以云为核心的白盒测试借助 “脱离云端” 技术，充分利用现有的 API 驱动服务。这种方式对于分析针对 SNS 等 AWS 服务的策略、技术和程序（TTP）尤为有效。

在近期的一次白盒测试中，研究人员模拟了利用 SNS 进行数据泄露的场景，他们创建一个主题，将其作为向外部端点转发被盗凭证的中介。该方法成功绕过了网络 ACL 等传统安全机制，充分表明攻击者能够轻易利用配置错误的基础设施。

数据泄露工作流程

攻击者通常遵循一套系统流程，通过 AWS SNS 窃取敏感数据：

· 初始访问：借助攻击易受攻击的 Web 应用程序，或使用被盗凭证等手段，进入 EC2 实例。

· 凭证发现：识别本地文件（如.env 或 GitHub 凭证文件）中存储的敏感信息。

· 主题创建：利用从 IMDSv2 获取的临时凭证创建 SNS 主题。

· 订阅设置：将外部电子邮件地址或手机号码注册为主题的订阅者。

· 数据发布：将敏感数据进行 Base64 编码后，发布到主题进行分发。

通过 AWS SNS 进行数据泄露的可视化工作流程

这一流程充分显示，一旦攻击者获得初始访问权限，实施攻击所需的操作极为简便。通过利用 CLI 命令和 IAM 角色等原生 AWS 服务，不法分子能够将恶意活动混入正常流量模式中。

AWS SNS 滥用最为令人担忧的情形之一，便是其在短信网络钓鱼（SMS 网络钓鱼）活动中的应用。

SentinelOne 的研究发现，部分攻击者利用基于 Python 的工具（如 SNS Sender），通过泄露的 AWS 凭证大规模发送欺诈性消息。这些活动借助经过身份验证的 API 请求绕过安全措施，发送假冒可信实体的网络钓鱼消息。

此类活动的得逞，取决于攻击者在 AWS 最终用户消息传递服务中获取生产级消息传递权限的能力。这需要监管机构对发起身份的批准以及运营商对大容量短信的预先批准，而经验丰富的攻击者能够通过入侵已有权限的账户来突破这一障碍。

尽管滥用 AWS SNS 为攻击者带来诸多便利（如混入合法流量、绕过出口监控），但也存在一定挑战：

· 初始访问：需要利用 EC2 实例中的漏洞，或通过社会工程手段获取凭证。

· 会话持久性：要在强大的端点保护中维持活动会话。

· 基础设施设置：需使用适用于 SNS 操作的宽松策略配置 IAM 角色。

· 沙盒限制：需克服 AWS 对处于 SMS 沙盒模式的新账户施加的限制。

这些挑战凸显了主动安全措施的重要性，例如强化 IAM 策略，以及监控 CloudTrail 日志中的异常情况。

CloudTrail 审计日志与检测规则

CloudTrail 审计日志是检测与 SNS 滥用相关异常 API 操作的关键资源。安全团队通过关注附加到 EC2 实例的假定角色，能够识别出异常情况，比如罕见的主题创建或订阅事件。利用 Elastic 的新条款逻辑，可以制定如下检测规则，用于标记首次出现的可疑活动：

· 稀有用户创建主题：识别假定角色意外创建 SNS 主题的情况。

· 使用外部电子邮件订阅：监控指定外部端点的订阅行为。

· 消息发布高峰：检测直接电话消息传递活动的突然增加。

用于凭证检查的 Bash 命令输出

这些规则帮助组织精准定位潜在的滥用场景，同时通过上下文分析最大程度减少误报。

威胁搜寻查询

威胁搜寻查询通过解析 CloudTrail 日志中的特定属性（如用户代理字符串或请求参数），能更深入洞察潜在危害。例如：

· 罕见主题创建：根据 EC2 实例 ID 和区域聚合数据，识别异常活动。

· 电子邮件订阅：按协议类型过滤订阅，检测未经授权的外部端点。

· 直接消息峰值：跟踪请求参数中带有电话号码的发布操作，揭露短信网络钓鱼活动。

这些查询助力安全团队依据异常信号确定调查优先级，同时随着时间推移不断完善检测逻辑。

AWS SNS 作为强大的通信工具，为组织带来诸多便利，但若缺乏监控或配置不当，便会潜藏巨大风险。上述研究揭示了不法分子如何利用其功能实施数据泄露、网络钓鱼等恶意活动。组织通过了解这些漏洞，借助 CloudTrail 日志和威胁搜寻查询实施有力的检测策略，能够有效降低风险。主要建议如下：

· 运用最小特权原则（PoLP）强化 IAM 策略。

· 在 CloudTrail 和 CloudWatch 中启用全面的日志记录机制。

· 制定契合组织环境的异常检测规则。

· 定期开展白盒测试，验证安全控制效果。

随着云环境持续演进，主动监控新兴威胁，对于维持强大的安全态势、防范 AWS SNS 等服务遭受恶意滥用至关重要。

来源：Web3软件开发