AWSDoor新型持久化技术：攻击者可将恶意软件隐藏在AWS云环境中

攻击者正越来越多地利用复杂技术在云环境中维持长期访问权限，新出现的AWSDoor工具正在成为主要威胁。该工具可自动化执行一系列IAM（身份和访问管理）及基于资源的持久化方法，使攻击者无需部署传统恶意软件就能隐藏在AWS账户中。

**核心发现**  
1. AWSDoor通过注入AccessKeys（访问密钥）和后门TrustPolicies（信任策略）暗中利用IAM  
2. 利用被污染的Lambda layers（Lambda层）实现基于资源的持久化  
3. 禁用CloudTrail（云审计）日志记录，滥用S3生命周期规则，并解除账户关联

基于IAM的后门与恶意策略

RiskInsight报告指出，AWSDoor滥用AWS IAM创建隐蔽后门。通过向被入侵的IAM用户注入AccessKeys，攻击者可确保命令行界面(CLI)持久化访问。AWSDoor只需简单调用：

即可创建新的AccessKey密钥对，为攻击者提供与合法流量混为一体的凭证。为避免检测，该工具还能列出现有密钥、停用闲置密钥并清除痕迹。