发布日期:2025-02-20 浏览次数:
一个老练的勒索软件团伙 Codefinger 拥有一种狡猾的新技术,无需使用传统的勒索软件工具即可加密存储在 AWS S3 存储桶中的数据。相反,他们利用客户提供的密钥 (SSE-C) 来利用 AWS 服务器端加密,勒索用户支付加密密钥。
与传统勒索软件不同,恶意行为者不会窃取任何数据。相反,他们会将加密文件标记为七天内删除,迫使组织支付赎金,否则将永远失去数据。
在我们讨论攻击的具体细节之前,需要注意的是,类似的攻击可能发生在您无法控制的任何云环境中;因此,经验教训适用于您的所有云部署。
攻击始于犯罪分子获得被盗 AWS 凭证(可能被盗或无意泄露)的访问权限,从而获得读取和写入受害者 S3 存储桶中对象的必要权限。这是一个关键的切入点,因为保护不当或权限过高的密钥会为不法分子提供实施攻击所需的立足点。
一旦进入,该团伙就会利用 AWS 中的 x-amz-server-side-encryption-customer-algorithm 标头启动加密过程。具体来说,他们会生成一个自定义高级加密标准 (AES-256) 密钥,该密钥由攻击者本地存储,不会与 AWS 共享。这使得目标实体完全无法访问它。
当威胁行为者使用客户提供的密钥 (SSE-C) 功能调用 AWS 服务器端加密时,加密过程完全在 AWS 环境内展开。
攻击之所以特别阴险,就是因为 AWS 使用提供的密钥处理加密请求,但并不保留密钥本身。相反,它会在 AWS CloudTrail 中记录基于哈希的消息认证码 (HMAC),该代码可验证发生的加密请求,但无法用于重建加密密钥。
因此,除非公司有备份,否则公司将无法访问其数据。为了营造紧迫感,犯罪分子会将加密文件标记为七天内删除,将加密过程变成定时炸弹。
更为复杂的是,在赎金谈判期间,Codefinger 明确警告受害者不要更改帐户权限或尝试采取对策,因为任何更改都可能导致不良行为者切断通信,并使受害者仅剩加密数据而没有解密密钥。
这种方法之所以特别有效,是因为它不会泄露数据。仅依靠加密,欺诈者就可以绕过所有检测机制,并将其活动限制在受害者的 AWS 环境中,从而限制外部警报的机会。
依赖 AWS S3 存储桶的实体必须采取主动措施,在此类攻击蔓延之前减轻其风险。
实体应实施强大的安全措施来减轻此类攻击的风险。使用 Condition 元素限制 IAM 策略可以防止未经授权使用 SSE-C,将此功能限制为特定用户和数据。
加强密钥管理实践同样重要。应定期审查 AWS 密钥权限,以确保仅授予所需的最低访问权限。禁用未使用的密钥并频繁轮换活动密钥可限制泄露风险。
对所有 S3 操作启用详细日志记录和监控也有助于及早发现异常活动,使公司能够快速做出反应并减少潜在损失。
还建议企业使用 AWS 内置保护措施,但需要注意的是,仅靠这些措施并非万无一失。AWS 会隔离公开的客户密钥以限制其可用性,但还需要额外的保护措施。
无论如何,最近的这次攻击凸显了一个重要的教训:依赖云提供商的内置安全措施,并认为它们“足够好”,是一种危险的赌博。无论数据存储在何处,组织都对数据的安全负有法律责任,他们必须开始这样做。
将加密密钥存储在外部,与所保护的数据分开,可大大降低未经授权访问的风险。即使服务器受到攻击,密钥仍安全地存储在外部硬件安全模块(HSM) 或密钥管理系统中。许多法规和标准都要求对加密密钥进行严格控制。利用外部密钥管理可确保密钥得到安全管理和存储,从而帮助组织满足这些合规性要求。
组织永远不应该采取“足够好”的安全方法。这种观念是有缺陷的,它假设威胁形势是静态的。网络威胁在不断演变,安全措施必须强大且能够适应新的漏洞。组织经常错误地认为 CSP 可以完全保护他们的数据。然而,CSP 通常提供基本的安全措施,不承担保护客户数据的责任——只负责访问数据。这是组织的责任。
有效的安全需要端到端的方法,在数据处理的每个阶段集成安全措施。仅依赖 CSP 的安全性可能会留下漏洞,攻击者可以利用这些漏洞,而组织将承担责任。
Thales密钥管理产品可简化和加强云和企业环境中各种用例的密钥管理。利用符合 FIPS 140-2 标准的虚拟或硬件设备,Thales 密钥管理工具和解决方案可为敏感环境提供高安全性,并集中管理您自行开发的加密和第三方应用程序的密钥。这让您能够更好地控制密钥,同时提高数据安全性。
点击此处,查看《CipherTrust Data Security Platform/CDSP/数据安全平台》《使用CTE为Amazon S3提供高级数据保护 - 解决方案》,您也可以立刻联系揽阁信息,与我们的安全专家进行更为深入的交流和讨论。
揽阁信息 · 值得您信赖的信息安全顾问!
服务热线
