La cybercriminalité est basée sur AWS, un opérateur de la société auf your Cloud-Daten zu wehren.
Un conseiller actif de Trend Micro décrit une nouvelle ville d’Angriffen, avec les solutions Angreifer Cloud-native et les services de sécurité intégrés, en fournissant des données claires sur les modèles ou les objets.
« Les entreprises qui s’occupent des buckets S3 ne sont pas récentes, mais les entreprises qui utilisent le Cloud sont encore mieux informées », a commenté Crystal Morin, stratège principale en cybersécurité chez Sysdig. « Les verteidiger stärkere Perimeterschutzmaßnahmen einsetzen, startnen Angreifer, integrierte Funktionen wie Encryption Management et Key Rotation zu missbrauchen, um Daten zu zerstörren. »
Laut Trend Micro propose une série de configurations S3, de Buckets avec des systèmes KMS utilisés par AWS jusqu’aux clés gérées par les utilisateurs, des matériaux de stockage importés et des composants de stockage externes complets.
Warum S3 est un logiciel Ransomware créé
Les ransomwares sur site utilisent traditionnellement des logiciels malveillants, des ordinateurs de bureau ou des serveurs intégrés et des logiciels malveillants utilisés. Les prestataires qui ont migré les charges de travail et les sauvegardes dans les services Cloud ont dû effectuer des recherches avant les dates.
Le Trend-Micro-Bericht liste plus d’options Cloud, notamment des instantanés de calcul, des stockages statistiques (seaux S3), des banques de données, des conteneurs/registres et un trésor de sauvegarde. Sous ce rapport, S3 propose des sauvegardes, des protocoles, des données de configuration et des actifs statistiques complets – ainsi qu’un opérateur qui les utilise pour m’aider.
Un exemple de cybercriminalité dans le règlement sur les buckets S3, selon les tendances de la chute, est le suivant :
- Versionierung deaktiviert (alte Versionen können nicht wiederhergestellt werden),
- Objekt-Sperre deaktiviert (Dateien lassen sich überschreiben oder löschen),
- de multiples schémas de configuration (par une fausse configuration IAM-Richtlinien ou par des instructions détaillées), et
- hochwertige Daten (Backup-Dateien, Produktionskonfigurations-Dumps).
Sobald sie sich Zugang verschafft haben, versuchen die Angreifer, un « vollständige und irréversible Sperrung » der Daten zu erzwingen. Vous pouvez donc trouver des objets pour l’utilisation de clés non autorisées, des sauvegardes et des sauvegardes planifiées, car AWS et les données ne sont pas disponibles.
Cloud-Verschlüsselung et Schlüsselverwaltung als Waffe
Trend Micro a identifié des variantes de ransomware S3 qui sont désormais intégrées dans AWS. Une variante manque le standardmäßigen, von AWS utilise le KMS-Schlüssel (SSE-KMS), indépendamment des dates d’un autre Schlüssel verschlüsselt et ce Schlüssel zur Löschung vormerkt. Une autre variante utilisée par le Kunden bereitgestellte Schlüssel (SSE-C), von denen AWS keine Kopie hat, sodass a Wiederherstellung unmöglich ist. Les différentes variantes exfiltrées S3-Bucket-Daten (sans version) et löscht die Originale.
Die letzten beiden Varianten dringen tiefer in die Key-Management-Infrastruktur un(MB2) . Eine stützt sich auf importiertes Schlüsselmaterial (Apportez votre propre clé – BYOK), wodurch Angreifer Daten verschlüsseln et anschließend die importierten Schlüssel zerstören oder ungültig machen können. L’autre manque de braucht de l’External Key Store (XKS) d’AWS, au cours des opérations effectuées par AWS, est trouvé. Das bedeutet, dass weder der Kunde noch AWS den Zugriff wiederherstellen können, wenn Angreifer die external Schlüsselquelle controlleren. Zusammengenommen zeigen cese Techniken, dass Angreifer AWS selbst als Verschlüsselungsmechanismus nutzen.
« Je ne peux pas m’en sortir, je suis mort dans la pratique qui a été créée », dit Trey Ford, directeur de la stratégie et de la confiance chez Bugcrowd. « Cette prise en charge est un modèle de conception systématique et théorique. Elle est présente, comme une branche interne de l’AWS-Umgebung, dans un rapport de gestion et un délai de livraison pour les clients. »
Ford a dit : « Cette application est spécialement conçue pour l’utilisation externe ou pour le système de gestion des systèmes d’exploitation (SSE-C bzw. XKS) ab, un contrôleur pour l’utilisation de la technologie de stockage pour l’utilisation de la cryptographie dans la technologie de stockage. »
Schutzmaßnahmen
Le Trend-Micro-Forscher fordern Kunden dringend auf, ihre S3-Umgebungen zu sichern, indem sie Least-Priviledge-Zugang erzwingen and Schutzmaßnahmen wie Versionierung and Object Lock aktivieren. Zudem sollten Unternehmen bereitgestellte oder external Schlüsselquellen, die die Wiederherstellung beeinträchtigen, streng regulieren. Il est également possible d’effectuer des sauvegardes dans des sites séparés pour l’isolation et le protocole d’audit Cloud en continu auf Anzeichen verdächtiger Schlüsselaktivitäten, Massenverschlüsselung ou de gros angelegte Objektlöschungen zu überwachen.
« Une mentalité « Assume Breach » est dans le Cloud unerlässlich : Laufzeitumgebungen sollten unveränderlich sein, Identitäten müssen über forteng begrenzte Berechtigungen et kurzlebige Anmeldedaten verfügen », a déclaré Morin von Sysdig. Nach Meinung des Experten benötigen Netzwerke aine sinnvolle Segmentierung und kritische Datensätze müssen gesichert werden. « Les entreprises modernes ont des liens complexes avec eux, et un ransomware, qui est un partenaire désigné, peut permettre à votre entreprise de se lancer dans une opération de promotion directe. » (jm)
