一个名为 “Codefinger ”的勒索软件团伙正在使用 AWS 的服务器端加密选项和客户提供的密钥(SSE-C)对目标组织的 AWS S3 存储桶中存储的数据进行加密,并要求客户交出他们使用的密钥。他们不会事先将数据外泄,而是将加密文件标记为在七天内删除,从而增加了企业支付赎金的压力。攻击是如何展开的?威胁者利用目标之前泄露的(无论是被盗还是无意泄露的)AWS 密钥,这些密钥拥有读写 S3 对象的权限。“攻击者通过调用 x-amz-server-side-encryption-customer-algorithm 标头,利用他们生成并存储在本地的 AES-256 加密密钥启动加密过程,”Halcyon 研究团队解释道。“AWS 会在加密操作过程中处理密钥,但不会将其存储起来。相反,AWS CloudTrail 中只记录了一个 HMAC(基于散列的消息验证码)。这个HMAC不足以重建密钥或解密数据。”因此,如果目标组织没有加密数据的备份,实际上就会被迫付费。而且,在谈判过程中,他们无法对账户权限进行更改,因为攻击者威胁要保持沉默,让受害者束手无策。避免成为受害者该团队表示,将数据存储在 AWS S3 存储桶中的组织应该重视这些信息,并在这种攻击方法被更广泛地采用之前采取行动,使这种攻击成为不可能。(据他们所知,最近几周就有两家机构受到了攻击)。“使用 IAM 策略中的 “条件 ”元素来防止 SSE-C 应用于 S3 存储桶。可以对策略进行配置,将此功能限制在授权数据和用户范围内,”他们建议说。“定期检查所有 AWS 密钥的权限,确保它们拥有最低要求的访问权限。禁用未使用的密钥,并经常轮换使用中的密钥。”他们还建议为 S3 操作启用详细的日志记录,以便能够快速检测到异常活动并采取相应措施。当 AWS 发现公开暴露的客户密钥时,会将其自动 “隔离”,从而限制对其进行的操作(尽管研究人员此前发现,即使这样也不足以防止潜在的破坏)。“AWS提供了一套丰富的功能,无需在源代码或配置文件中存储凭据,”亚马逊的云计算子公司对Halcyon的研究结果发表了评论。“IAM 角色使应用程序能够安全地从 EC2 实例、ECS 或 EKS 容器或 Lambda 功能发出签名 API 请求,并使用自动部署、频繁轮换的短期凭证,无需客户管理。”他们说:“即使是 AWS 云之外的计算节点,也可以使用 Roles Anywhere 功能,在没有长期 AWS 凭据的情况下进行经过验证的调用。”“开发人员工作站使用身份中心来获取由受 MFA 令牌保护的长期用户身份支持的短期凭证。所有这些技术都依赖于 AWS 安全令牌服务(AWS STS)来发布临时安全凭证,这些凭证可以控制对 AWS 资源的访问,而无需在应用程序(无论是代码还是配置文件)中分发或嵌入长期 AWS 安全凭证。”
