一个名为 “Codefinger ”的勒索软件团伙正在使用 AWS 的服务器端加密选项和客户提供的密钥(SSE-C)对目标组织的 AWS S3 存储桶中存储的数据进行加密,并要求客户交出他们使用的密钥。
他们不会事先将数据外泄,而是将加密文件标记为在七天内删除,从而增加了企业支付赎金的压力。
攻击是如何展开的?
威胁者利用目标之前泄露的(无论是被盗还是无意泄露的)AWS 密钥,这些密钥拥有读写 S3 对象的权限。“攻击者通过调用 x-amz-server-side-encryption-customer-algorithm 标头,利用他们生成并存储在本地的 AES-256 加密密钥启动加密过程,”Halcyon 研究团队解释道。
“AWS 会在加密操作过程中处理密钥,但不会将其存储起来。相反,AWS CloudTrail 中只记录了一个 HMAC(基于散列的消息验证码)。这个HMAC不足以重建密钥或解密数据。”
因此,如果目标组织没有加密数据的备份,实际上就会被迫付费。而且,在谈判过程中,他们无法对账户权限进行更改,因为攻击者威胁要保持沉默,让受害者束手无策。
该团队表示,将数据存储在 AWS S3 存储桶中的组织应该重视这些信息,并在这种攻击方法被更广泛地采用之前采取行动,使这种攻击成为不可能。(据他们所知,最近几周就有两家机构受到了攻击)。
“使用 IAM 策略中的 “条件 ”元素来防止 SSE-C 应用于 S3 存储桶。可以对策略进行配置,将此功能限制在授权数据和用户范围内,”他们建议说。“定期检查所有 AWS 密钥的权限,确保它们拥有最低要求的访问权限。禁用未使用的密钥,并经常轮换使用中的密钥。”他们还建议为 S3 操作启用详细的日志记录,以便能够快速检测到异常活动并采取相应措施。
(来自:安全客)
原文始发于微信公众号(天锐数据安全):某勒索软件团伙正对目标组织的加密数据尝试攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论