一個名為 Codefinger 的新型勒索軟體團伙以 AWS S3 存儲桶為目標,利用 AWS 自身的伺服器端加密與客戶提供密鑰 (SSE-C) 功能來加密受害者數據,隨後索要贖金以換取解密所需的 AES-256 對稱密鑰。
Halcyon 威脅獵手團隊表示他們首次發現該犯罪團伙是在 12 月,近幾周觀察到兩起針對其客戶的此類勒索軟體攻擊,這些客戶都是 AWS 原生軟體開發商。
Codefinger 利用公開暴露或被盜的具有讀寫權限的 AWS 密鑰入侵受害組織的雲存儲桶,執行"s3:GetObject"和"s3:PutObject"請求。
Halcyon RISE 團隊副總裁 Tim West 告訴 The Register,雖然其他安全研究人員此前已記錄了加密 S3 存儲桶的技術,"但這是我們所知的首個在野利用 AWS 原生安全加密基礎設施 SSE-C 的案例。"
他警告說:"歷史上泄露的 AWS Identity IAM 密鑰主要被用於數據盜竊,但如果這種方式被廣泛採用,可能會對依賴 AWS S3 存儲關鍵數據的組織造成重大系統性風險。"
攻擊者濫用被盜密鑰後,調用"x-amz-server-side-encryption-customer-algorithm"請求頭,使用本地生成的 AES-256 加密密鑰來鎖定受害者文件。
由於 AWS 在加密過程中處理密鑰但不存儲它,如果沒有攻擊者生成的密鑰,受害者就無法解密其數據。
此外,除了加密數據外,Codefinder 還使用 S3 對象生命周期管理 API 將受感染文件標記為 7 天內刪除 - 據了解,犯罪分子本身並不威脅泄露或出售數據。
West 表示:"這很獨特,因為大多數勒索軟體運營商和附屬攻擊者通常不會直接銷毀數據作為雙重勒索或向受害者施壓支付贖金的手段。數據銷毀對目標組織來說是一個額外的風險。"
Codefinger 還在每個受影響目錄中留下勒索信,包含攻擊者的比特幣地址和與加密數據關聯的客戶 ID。Halcyon 研究人員在一份與 The Register 共享的 S3 存儲桶攻擊報告中指出:"該資訊警告說,更改賬戶權限或文件將終止談判。"
雖然 West 拒絕透露兩個 Codefinger 受害者的名稱或更多細節(包括他們是否支付了贖金),但他建議 AWS 客戶限制使用 SSE-C。
他解釋說:"可以通過在 IAM 策略中利用 Condition 元素來實現這一點,防止在 S3 存儲桶上未經授權使用 SSE-C,確保只有經批准的數據和用戶才能使用此功能。"
此外,監控和定期審計 AWS 密鑰很重要,因為這些密鑰對於所有試圖入侵公司雲環境和竊取數據的犯罪分子來說都是非常有吸引力的目標。
West 說:"應經常審查權限以確認其符合最小權限原則,同時應禁用未使用的密鑰,並定期輪換活動密鑰以最大限度地減少風險。"
AWS 回應
當被問及這些勒索軟體感染事件時,AWS 發言人告訴 The Register,只要雲巨頭發現密鑰泄露,就會通知受影響的客戶,並"迅速採取必要行動,例如應用隔離策略,以在不中斷客戶 IT 環境的情況下將風險降至最低。"
該發言人還指導用戶參考這篇關於發現未授權活動時該怎麼做的文章,並鼓勵客戶遵循與安全、身份和合規相關的最佳實踐 - 特別是與雲安全共同責任模型相關的實踐。
發言人告訴我們:"AWS 提供了豐富的功能,消除了在源代碼或配置文件中存儲憑據的需求。IAM 角色使應用程序能夠使用自動部署、頻繁輪換且無需客戶管理的短期憑據,從 EC2 實例、ECS 或 EKS 容器或 Lambda 函數安全地發出簽名 API 請求。"
這些功能還包括允許 AWS 外部的計算節點使用 Roles Anywhere 功能進行無長期 AWS 憑據的身份驗證調用。此外,使用 AWS Identity Center 的開發者工作站可以獲得受多因素身份驗證令牌保護的短期憑據。
發言人說:"所有這些技術都依賴於 AWS Security Token Service (AWS STS) 發布臨時安全憑據,這些憑據可以控制對其 AWS 資源的訪問,而無需在應用程序中分發或嵌入長期 AWS 安全憑據,無論是在代碼還是配置文件中。"
