S3

詳細については、以下をチェックしてください:

機密情報

時々、バケット内で機密情報を読み取り可能な状態で見つけることができます。たとえば、terraformの状態の秘密情報などです。

ピボット

異なるプラットフォームがS3を使用して機密資産を保存している可能性があります。 たとえば、airflowがDAGsのコードをそこに保存しているか、Webページが直接S3から提供されているかもしれません。書き込み権限を持つ攻撃者は、バケットからコードを変更して他のプラットフォームにピボットしたり、JSファイルを変更してアカウントを乗っ取ることができます。

S3ランサムウェア

このシナリオでは、攻撃者は自分自身のAWSアカウントまたは他の侵害されたアカウントでKMS（Key Management Service）キーを作成します。その後、このキーを世界中の誰でもアクセス可能にし、このキーを使用してオブジェクトを暗号化するために任意のAWSユーザー、ロール、またはアカウントが使用できるようにします。ただし、オブジェクトは復号できません。

攻撃者は、さまざまな方法を使用してそれに書き込みレベルのアクセスを取得し、それに対してS3バケットを標的にすることを特定します。これは、バケットの設定が公開されているか、攻撃者がAWS環境自体にアクセス権を取得しているためです。攻撃者は、通常、個人を特定できる情報（PII）、保護された健康情報（PHI）、ログ、バックアップなどの機密情報を含むバケットを標的にします。

バケットをランサムウェアの標的にできるかどうかを判断するために、攻撃者はその構成をチェックします。これには、S3オブジェクトバージョニングが有効になっているか、マルチファクタ認証削除（MFA削除）が有効になっているかを確認することが含まれます。オブジェクトバージョニングが有効になっていない場合、攻撃者は進めることができます。オブジェクトバージョニングが有効になっているが、MFA削除が無効になっている場合、攻撃者はオブジェクトバージョニングを無効にすることができます。オブジェクトバージョニングとMFA削除の両方が有効になっている場合、攻撃者が特定のバケットをランサムウェアの標的にするのはより困難になります。

AWS APIを使用して、攻撃者はKMSキーを使用してバケット内の各オブジェクトを暗号化したコピーで置き換えます。これにより、バケット内のデータが暗号化され、キーなしではアクセスできなくなります。

さらに圧力をかけるために、攻撃者は攻撃で使用したKMSキーの削除をスケジュールします。これにより、対象者はデータを回復するための7日間のウィンドウが与えられます。その後、キーが削除され、データが永久に失われる前にデータを回収する方法についての指示が記載された最終ファイル（通常は「ransom-note.txt」という名前）をアップロードすることができます。このファイルは暗号化されずにアップロードされ、対象者の注意を引き、ランサムウェア攻撃に気づかせるためです。

詳細については 元のリサーチをチェック.