Fireglass的高管在Black Hat 2016 session里展示了一些技术，这些技术让黑客可以在Amazon Web Services环境里操纵AWS CloudTrail并且不会被发现。

Fireglass的联合创始人和CTO Dan Amiga以及安全研究团队领导人Dor Knafo列举了一些入侵AWS环境的方法，这些方法让黑客在完成攻击的同时能够消除入侵AWS CloudTrail，Amazon的安全监控服务的痕迹。Amiga说这些“用户故障传播”包括简单的钓鱼攻击，以及在源码仓库，比如GitHub和Bitbucket里暴露AWS加密秘钥。他还详细介绍了直接感染的类型，比如管理员部署没有完整扫描的“有毒的”Amazon机器镜像，或者黑客获得了云实例元数据，并且借助其获得某个环境的访问权限。

但是直接感染的另外一种重要来源，Fireglass称之为AWS账号跳跃。Amiga说因为Amazon向小型创业企业提供财务刺激政策——有时候多达15万美元，来促进他们转向AWS，当这些创业企业要么关闭要么缩小规模时，AWS账号可能会被出售给那些想要得到打折价格的AWS实例的其他公司。

“这有点像黑市。你可以用10万美元购买一个AWS账号，这比Amazon的正常价格便宜”Amiga说。“你可以省很多钱，但是问题是在AWS里没有重置按钮。如果你已经购买了一个账号……你没有办法扫描并且检查所有数据中心，所有区域以及所有API。”

因此，AWS账号的新主人可能会暴露在漏洞、恶意软件的攻击下，或者更为糟糕地，暴露在环境里潜伏的更严重的持久危险下。

Amiga和Knafo还详细介绍了APT能够使用的技术，通过访问，操纵以及删除CloudTrail数据来驻留在防护良好的AWS账号内。一些技术，比如使用API调用来删除或者停止CloudTrail配置，可能会引起管理员的注意。但是，其他方法，则更加难以发现，Amiga说。

例如，在Fireglass的研究报告里详细介绍的，黑客可以为除了账户的home region的所有region关闭CloudTrail，该region的管理员可能并不会注意到。黑客还可以更新Amazon S3 bucket生命周期配置，在一天后删除CloudTrail文件。第三个选择是利用AWS Lambda，Amazon自己的事件驱动计算服务来攻击环境本身。

“可以搭建一个lambda立刻删除写入到这个S3 bucket的所有日志文件，”Fireglass的研究报告宣传。“Lambda功能由S3直接调用，它能够赢得和其他尝试消费写入到bucket的文件的代码之间的竞争，让他们都不可见。”

要抵御这些类型的攻击，Amiga提供了一些方向，包括分隔环境，以及加密敏感数据，同时密切关注AWS安全服务。

“小心关注CloudTrail以及所有不同的CloudWatch通知，”Amiga说。“假定你的环境可能会被瓦解，就像Code Spaces一样。”