文章总结： 攻击者正滥用AWSCloudTrail和GoogleCloudLogging等云日志服务进行防御规避和维持持续可见性。主要攻击手法包括停止日志收集、删除日志存储桶、操纵加密密钥、日志污染以及重定向日志到攻击者控制的环境。建议实施严格权限控制、启用完整性验证功能并采用分层防御策略保护日志管道。 综合评分： 85 文章分类： 云安全,威胁情报,漏洞分析,安全运营,解决方案

攻击者滥用云日志服务逃避检测并削弱防御者可见性

FreeBuf

2026年6月18日 18:00 上海

在小说阅读器读本章

去阅读

根据Palo Alto Networks Unit 42的最新研究，威胁行为者正越来越多地针对云日志服务实施攻击，以逃避检测并维持对已入侵环境的持续可见性。这些本应作为关键安全层的服务，现正被武器化以制造云基础设施中的监控盲区。

Part01

云日志服务成为攻击目标

AWS CloudTrail和Google Cloud Logging等云日志平台本是追踪云环境活动的主要依据。安全团队严重依赖这些日志为SIEM（安全信息和事件管理）、SOAR（安全编排自动化与响应）和CSPM（云安全态势管理）工具提供支持。但获得足够权限的攻击者可以操纵这些系统来破坏可见性，甚至窃取日志供其监控使用。

研究人员将这些攻击分为两大主要战术：防御规避和持续可见性。在防御规避场景中，攻击者专注于禁用或篡改日志机制以避免被发现。

Part02

防御规避技术剖析

最直接的技术之一是彻底停止日志收集。在AWS中，拥有CloudTrail:StopLogging权限的攻击者可通过API调用中止日志记录，使监控系统立即失效。类似地，在Google Cloud中，攻击者可以利用logging.sinks.Update权限禁用日志接收器。

另一种常见技术是删除日志存储目标。例如，拥有s3:DeleteBucket权限的攻击者可以移除CloudTrail日志存储桶，从而销毁取证证据。在Google Cloud中，日志存储桶虽可删除，但会进入延迟删除状态，提供有限的恢复窗口。

更高级的攻击者可能通过操纵加密密钥来破坏日志记录。通过用攻击者控制的密钥替换合法的AWS KMS密钥，然后撤销访问权限，日志将变得不可读或完全无法写入。在Google Cloud中使用客户管理的加密密钥（CMEK）也可实施类似攻击，有效将防御者锁定在自己的日志之外。

Part03

日志污染与重定向攻击

日志污染是另一种隐蔽技术。拥有对象级访问权限的攻击者可以下载、修改并重新上传存储在Amazon S3等服务中的日志文件，破坏数据完整性并误导事件响应团队。

除了规避防御，攻击者还利用日志系统实现持续可见性。他们不再通过主动侦察触发警报，而是配置新的日志路由机制将日志副本发送到攻击者控制的环境。在AWS中，这涉及创建指向外部S3存储桶的新CloudTrail跟踪；在Google Cloud中，攻击者则滥用日志接收器来重定向日志。

日志重定向特别危险，因为它会悄无声息地将实时活动数据（包括IAM变更、VM部署和数据访问事件）传输给威胁行为者。Palo Alto Networks Unit 42表示，这些技术的影响范围从可见性丧失到隐蔽持久化和数据窃取不等。例如，停止日志记录会导致监控完全失效，而日志重定向则使攻击者能够持续洞察受害者环境。

Part04

防御建议

为降低这些风险，组织必须对日志资源实施严格的访问控制。应将update-trail、logging.sinks.update和存储修改等关键权限限制在高度特权角色范围内。启用完整性验证功能（如AWS CloudTrail日志文件验证）有助于检测篡改行为。

云服务提供商也提供内置保护措施。AWS为管理操作维护90天不可变事件历史记录，而Google Cloud提供无法更改或删除的系统创建日志存储桶。但这些保护措施可能无法覆盖所有日志记录场景，特别是在自定义配置中。组织必须将日志管道视为关键资产，并实施分层防御，确保攻击期间可见性不受损害。

参考来源：

Hackers Abuse Cloud Logging Services to Evade Detection and Defender’s Visibility

Hackers Abuse Cloud Logging Services to Evade Detection and Defender’s Visibility

推荐阅读

#

#

#

#

#

#

#

#

#

#

#

#

#

#

#

电报讨论

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《攻击者滥用云日志服务逃避检测并削弱防御者可见性》