S3

Per ulteriori informazioni controlla:

Informazioni Sensibili

A volte potresti trovare informazioni sensibili leggibili nei bucket. Ad esempio, segreti di stato di terraform.

Pivoting

Diverse piattaforme potrebbero utilizzare S3 per memorizzare risorse sensibili. Ad esempio, airflow potrebbe memorizzare il codice DAGs lì, o le pagine web potrebbero essere servite direttamente da S3. Un attaccante con permessi di scrittura potrebbe modificare il codice dal bucket per pivoting verso altre piattaforme, o prendere il controllo degli account modificando i file JS.

Ransomware di S3

In questo scenario, l'attaccante crea una chiave KMS (Key Management Service) nel proprio account AWS o in un altro account compromesso. Quindi rende questa chiave accessibile a chiunque nel mondo, consentendo a qualsiasi utente, ruolo o account AWS di crittografare oggetti utilizzando questa chiave. Tuttavia, gli oggetti non possono essere decrittografati.

L'attaccante identifica un bucket S3 di destinazione e ottiene l'accesso a livello di scrittura ad esso utilizzando vari metodi. Ciò potrebbe essere dovuto a una cattiva configurazione del bucket che lo espone pubblicamente o all'attaccante che ottiene l'accesso all'ambiente AWS stesso. L'attaccante di solito mira ai bucket che contengono informazioni sensibili come informazioni personali identificabili (PII), informazioni sanitarie protette (PHI), log, backup e altro ancora.

Per determinare se il bucket può essere preso di mira per il ransomware, l'attaccante controlla la sua configurazione. Ciò include la verifica se è abilitato il Versioning degli oggetti S3 e se è abilitata la cancellazione con autenticazione a due fattori (MFA delete). Se il Versioning degli oggetti non è abilitato, l'attaccante può procedere. Se il Versioning degli oggetti è abilitato ma MFA delete è disabilitato, l'attaccante può disabilitare il Versioning degli oggetti. Se sia il Versioning degli oggetti che MFA delete sono abilitati, diventa più difficile per l'attaccante eseguire il ransomware su quel bucket specifico.

Utilizzando l'API AWS, l'attaccante sostituisce ciascun oggetto nel bucket con una copia crittografata utilizzando la propria chiave KMS. Questo cripta efficacemente i dati nel bucket, rendendoli inaccessibili senza la chiave.

Per aggiungere ulteriore pressione, l'attaccante pianifica la cancellazione della chiave KMS utilizzata nell'attacco. Questo dà al bersaglio una finestra temporale di 7 giorni per recuperare i propri dati prima che la chiave venga cancellata e i dati vengano persi definitivamente.

Infine, l'attaccante potrebbe caricare un file finale, di solito chiamato "ransom-note.txt," che contiene istruzioni per il bersaglio su come recuperare i propri file. Questo file viene caricato senza crittografia, probabilmente per attirare l'attenzione del bersaglio e renderlo consapevole dell'attacco ransomware.

Per ulteriori informazioni controlla la ricerca originale.