新的开源工具扫描公共 AWS S3 存储服务以查找机密

一种新的开源“S3crets Scanner”扫描仪允许研究人员和红队人员搜索错误地存储在公开暴露或公司的 Amazon AWS S3 存储服务中的“秘密”。

Amazon S3（简单存储服务）是一种云存储服务，公司常用来将软件、服务和数据存储在称为存储服务的容器中。

不幸的是，公司有时无法正确保护其 S3 存储服务，从而将存储的数据公开暴露到互联网。 

这种类型的错误配置过去曾导致数据泄露，威胁参与者可以访问员工或客户的详细信息、备份和其他类型的数据。

除了应用程序数据，S3 存储服务中的源代码或配置文件还可以包含“秘密”，即身份验证密钥、访问令牌和 API 密钥。

如果这些秘密被威胁者不当暴露和访问，他们可能会允许他们更大程度地访问其他服务甚至公司的公司网络。

扫描 S3 以获取机密

在检查SEGA 最近的资产曝光情况时，安全研究员 Eilon Harel 发现不存在用于扫描意外数据泄漏的工具，因此他决定创建自己的自动扫描仪并将其作为开源工具发布在 GitHub 上。

为了帮助及时发现公共 S3 存储服务上暴露的秘密，Harel 创建了一个名为“ S3crets Scanner ”的 Python 工具，该工具会自动执行以下操作：

• 使用 CSPM 获取公共存储服务列表
• 通过 API 查询列出存储服务内容
• 检查暴露的文本文件
• 下载相关文本文件
• 扫描内容以获取机密
• 将结果转发给 SIEM
  
  

S3crets Scanner 执行的操作

扫描仪工具只会列出以下配置设置为“False”的 S3 存储服务，这意味着暴露可能是意外的：

• “阻止公共访问”
• “阻止公共政策”
• “忽略PublicAcls”
• “限制公共服务”
  
  

在为“秘密扫描”步骤下载文本文件之前，任何打算公开的存储服务都会从列表中过滤掉。

扫描存储服务时，脚本将使用 Trufflehog3 工具检查文本文件的内容，这是一种改进的基于 Go 的秘密扫描器版本，可以检查 GitHub、GitLab、文件系统和 S3 存储桶上的凭据和私钥。

Trufflehog3 使用 Harel 设计的一组自定义规则扫描 S3crets 下载的文件，这些规则针对个人身份信息 (PII) 暴露和内部访问令牌。

当定期用于扫描组织的资产时，研究人员认为，“S3crets Scanner”可以帮助公司最大限度地减少因机密泄露而导致的数据泄露或网络破坏的可能性。

最后，该工具还可用于白帽操作，例如扫描可公开访问的存储服务，并在不良行为者找到暴露的秘密之前通知所有者。

原文始发于微信公众号（网络研究院）：新的开源工具扫描公共 AWS S3 存储服务以查找机密