S3

Pour plus d'informations, consultez :

Informations Sensibles

Parfois, vous pourrez trouver des informations sensibles lisibles dans les buckets. Par exemple, des secrets d'état terraform.

Pivotage

Différentes plateformes pourraient utiliser S3 pour stocker des actifs sensibles. Par exemple, airflow pourrait stocker du code DAGs là-bas, ou des pages web pourraient être directement servies depuis S3. Un attaquant avec des autorisations d'écriture pourrait modifier le code du bucket pour pivoter vers d'autres plateformes, ou prendre le contrôle de comptes en modifiant des fichiers JS.

Rançongiciel S3

Dans ce scénario, l'attaquant crée une clé KMS (Key Management Service) dans son propre compte AWS ou un autre compte compromis. Il rend ensuite cette clé accessible à tout le monde dans le monde, permettant à tout utilisateur, rôle ou compte AWS de chiffrer des objets en utilisant cette clé. Cependant, les objets ne peuvent pas être déchiffrés.

L'attaquant identifie un bucket S3 cible et obtient un accès de niveau écriture en utilisant diverses méthodes. Cela pourrait être dû à une mauvaise configuration du bucket qui l'expose publiquement ou à l'attaquant qui obtient l'accès à l'environnement AWS lui-même. L'attaquant cible généralement des buckets contenant des informations sensibles telles que des informations personnellement identifiables (PII), des informations de santé protégées (PHI), des journaux, des sauvegardes, et plus encore.

Pour déterminer si le bucket peut être ciblé par un rançongiciel, l'attaquant vérifie sa configuration. Cela inclut la vérification si la Version d'Objet S3 est activée et si la suppression multi-facteurs (MFA delete) est activée. Si la Version d'Objet n'est pas activée, l'attaquant peut procéder. Si la Version d'Objet est activée mais que MFA delete est désactivé, l'attaquant peut désactiver la Version d'Objet. Si la Version d'Objet et MFA delete sont activés, il devient plus difficile pour l'attaquant de rançonner ce bucket spécifique.

En utilisant l'API AWS, l'attaquant remplace chaque objet dans le bucket par une copie chiffrée en utilisant sa clé KMS. Cela chiffre efficacement les données dans le bucket, les rendant inaccessibles sans la clé.

Pour ajouter une pression supplémentaire, l'attaquant planifie la suppression de la clé KMS utilisée dans l'attaque. Cela donne à la cible une fenêtre de 7 jours pour récupérer ses données avant que la clé ne soit supprimée et que les données soient définitivement perdues.

Enfin, l'attaquant pourrait télécharger un fichier final, généralement nommé "ransom-note.txt", qui contient des instructions pour la cible sur la façon de récupérer ses fichiers. Ce fichier est téléchargé sans cryptage, probablement pour attirer l'attention de la cible et la rendre consciente de l'attaque de rançongiciel.

Pour plus d'informations consultez la recherche originale.