一个名为 Codefinger 的新型勒索软件团伙以 AWS S3 存储桶为目标,利用 AWS 自身的服务器端加密与客户提供密钥 (SSE-C) 功能来加密受害者数据,随后索要赎金以换取解密所需的 AES-256 对称密钥。
Halcyon 威胁猎手团队表示他们首次发现该犯罪团伙是在 12 月,近几周观察到两起针对其客户的此类勒索软件攻击,这些客户都是 AWS 原生软件开发商。
Codefinger 利用公开暴露或被盗的具有读写权限的 AWS 密钥入侵受害组织的云存储桶,执行"s3:GetObject"和"s3:PutObject"请求。
Halcyon RISE 团队副总裁 Tim West 告诉 The Register,虽然其他安全研究人员此前已记录了加密 S3 存储桶的技术,"但这是我们所知的首个在野利用 AWS 原生安全加密基础设施 SSE-C 的案例。"
他警告说:"历史上泄露的 AWS Identity IAM 密钥主要被用于数据盗窃,但如果这种方式被广泛采用,可能会对依赖 AWS S3 存储关键数据的组织造成重大系统性风险。"
攻击者滥用被盗密钥后,调用"x-amz-server-side-encryption-customer-algorithm"请求头,使用本地生成的 AES-256 加密密钥来锁定受害者文件。
由于 AWS 在加密过程中处理密钥但不存储它,如果没有攻击者生成的密钥,受害者就无法解密其数据。
此外,除了加密数据外,Codefinder 还使用 S3 对象生命周期管理 API 将受感染文件标记为 7 天内删除 - 据了解,犯罪分子本身并不威胁泄露或出售数据。
West 表示:"这很独特,因为大多数勒索软件运营商和附属攻击者通常不会直接销毁数据作为双重勒索或向受害者施压支付赎金的手段。数据销毁对目标组织来说是一个额外的风险。"
Codefinger 还在每个受影响目录中留下勒索信,包含攻击者的比特币地址和与加密数据关联的客户 ID。Halcyon 研究人员在一份与 The Register 共享的 S3 存储桶攻击报告中指出:"该信息警告说,更改账户权限或文件将终止谈判。"
虽然 West 拒绝透露两个 Codefinger 受害者的名称或更多细节(包括他们是否支付了赎金),但他建议 AWS 客户限制使用 SSE-C。
他解释说:"可以通过在 IAM 策略中利用 Condition 元素来实现这一点,防止在 S3 存储桶上未经授权使用 SSE-C,确保只有经批准的数据和用户才能使用此功能。"
此外,监控和定期审计 AWS 密钥很重要,因为这些密钥对于所有试图入侵公司云环境和窃取数据的犯罪分子来说都是非常有吸引力的目标。
West 说:"应经常审查权限以确认其符合最小权限原则,同时应禁用未使用的密钥,并定期轮换活动密钥以最大限度地减少风险。"
AWS 回应
当被问及这些勒索软件感染事件时,AWS 发言人告诉 The Register,只要云巨头发现密钥泄露,就会通知受影响的客户,并"迅速采取必要行动,例如应用隔离策略,以在不中断客户 IT 环境的情况下将风险降至最低。"
该发言人还指导用户参考这篇关于发现未授权活动时该怎么做的文章,并鼓励客户遵循与安全、身份和合规相关的最佳实践 - 特别是与云安全共同责任模型相关的实践。
发言人告诉我们:"AWS 提供了丰富的功能,消除了在源代码或配置文件中存储凭据的需求。IAM 角色使应用程序能够使用自动部署、频繁轮换且无需客户管理的短期凭据,从 EC2 实例、ECS 或 EKS 容器或 Lambda 函数安全地发出签名 API 请求。"
这些功能还包括允许 AWS 外部的计算节点使用 Roles Anywhere 功能进行无长期 AWS 凭据的身份验证调用。此外,使用 AWS Identity Center 的开发者工作站可以获得受多因素身份验证令牌保护的短期凭据。
发言人说:"所有这些技术都依赖于 AWS Security Token Service (AWS STS) 发布临时安全凭据,这些凭据可以控制对其 AWS 资源的访问,而无需在应用程序中分发或嵌入长期 AWS 安全凭据,无论是在代码还是配置文件中。"
