S3

Für weitere Informationen siehe:

Sensible Informationen

Manchmal können sensible Informationen in lesbarem Zustand in den Buckets gefunden werden. Zum Beispiel Terraform-Statusgeheimnisse.

Pivoting

Verschiedene Plattformen könnten S3 verwenden, um sensible Vermögenswerte zu speichern. Zum Beispiel könnte airflow den DAG-Code dort speichern, oder Webseiten könnten direkt von S3 bereitgestellt werden. Ein Angreifer mit Schreibberechtigungen könnte den Code im Bucket ändern, um zu anderen Plattformen zu pivotieren oder Konten zu übernehmen, indem er JS-Dateien ändert.

S3-Ransomware

In diesem Szenario erstellt der Angreifer einen KMS (Key Management Service)-Schlüssel in seinem eigenen AWS-Konto oder einem anderen kompromittierten Konto. Anschließend macht er diesen Schlüssel für jeden auf der Welt zugänglich, sodass jeder AWS-Benutzer, jede Rolle oder jedes Konto Objekte mit diesem Schlüssel verschlüsseln kann. Die Objekte können jedoch nicht entschlüsselt werden.

Der Angreifer identifiziert einen Ziel-S3-Bucket und erlangt Schreibzugriff darauf mithilfe verschiedener Methoden. Dies könnte aufgrund einer schlechten Bucket-Konfiguration geschehen, die ihn öffentlich zugänglich macht, oder der Angreifer erhält Zugriff auf die AWS-Umgebung selbst. Der Angreifer zielt typischerweise auf Buckets ab, die sensible Informationen wie personenbezogene Daten (PII), geschützte Gesundheitsinformationen (PHI), Protokolle, Backups und mehr enthalten.

Um festzustellen, ob der Bucket für Ransomware angegriffen werden kann, überprüft der Angreifer dessen Konfiguration. Dazu gehört die Überprüfung, ob S3-Objektversionierung aktiviert ist und ob Multi-Faktor-Authentifizierung löschen (MFA löschen) aktiviert ist. Wenn die Objektversionierung nicht aktiviert ist, kann der Angreifer fortfahren. Wenn die Objektversionierung aktiviert ist, MFA löschen jedoch deaktiviert ist, kann der Angreifer die Objektversionierung deaktivieren. Wenn sowohl die Objektversionierung als auch MFA löschen aktiviert sind, wird es für den Angreifer schwieriger, diesen spezifischen Bucket zu ransomwaren.

Mithilfe der AWS-API ersetzt der Angreifer jedes Objekt im Bucket durch eine verschlüsselte Kopie unter Verwendung seines KMS-Schlüssels. Dadurch werden die Daten im Bucket effektiv verschlüsselt und sind ohne den Schlüssel nicht zugänglich.

Um zusätzlichen Druck auszuüben, plant der Angreifer die Löschung des für den Angriff verwendeten KMS-Schlüssels. Dies gibt dem Ziel ein 7-tägiges Zeitfenster, um ihre Daten wiederherzustellen, bevor der Schlüssel gelöscht wird und die Daten dauerhaft verloren gehen.

Schließlich könnte der Angreifer eine abschließende Datei hochladen, die in der Regel "ransom-note.txt" heißt und Anweisungen für das Ziel enthält, wie es seine Dateien wiederherstellen kann. Diese Datei wird unverschlüsselt hochgeladen, wahrscheinlich um die Aufmerksamkeit des Ziels zu erregen und es über den Ransomware-Angriff zu informieren.

Für weitere Informationen überprüfen Sie die Originalforschung.