AWS S3存储遭大规模勒索攻击:1.58亿条密钥泄露

admin
admin
admin
138838
文章
114
评论
2025年4月21日00:48:00评论0 views字数 2201阅读7分20秒阅读模式

安全研究人员发现1.58亿条AWS密钥泄露,攻击者利用其中1,229组有效密钥对S3存储桶实施加密勒索,每笔索要0.3比特币(约2.5万美元)。部分受害者仍未察觉。

AWS S3存储遭大规模勒索攻击:1.58亿条密钥泄露

安全研究人员发现一个公开可访问的服务器,内含超过1.58亿条AWS密钥记录。其中大部分密钥是跨不同区域端点和配置复制的重复条目。

然而进一步调查发现,攻击者通过爬取和其他方式收集AWS密钥,对存储桶进行加密并索要赎金的恶意活动。研究人员将密钥列表精简至1,229组独特的AWS密钥对,每组包含访问密钥ID及对应的秘密访问密钥。许多密钥对已被轮换,但仍在生效的有效密钥对已导致含有勒索信的S3存储桶被加密。

某未知威胁行为体正滥用AWS原生服务端加密功能以隐藏行踪。网络安全研究员、SecurityDiscovery.com所有者Bob Diachenko表示:“这是罕见且可能前所未有的协同勒索攻击案例——攻击者利用泄露的AWS凭证,在存储桶所有者未察觉或未操作的情况下,通过客户提供密钥的服务器端加密(SSE-C)对S3存储桶数据进行加密。”

关键要点:

  1. 发现超过1.58亿条泄露的AWS密钥记录,指向1,229组独特凭证。有效AWS密钥允许攻击者列出S3存储桶并检索勒索要求。

  2. 勒索信显示文件是使用客户提供密钥的服务器端加密(SSE-C)加密的。

  3. 勒索金额为每名受害者0.3枚比特币(约合2.5万美元)。

部分受害者仍不知情。

此次恶意活动无明确归属且高度自动化。攻击者在名为warning.txt的文件中留下勒索信。每个被加密的S3存储桶似乎都有独立的警告信息及唯一的比特币(BTC)地址。黑客留下联系邮箱awsdecrypt[@]techie.com。

AWS S3存储遭大规模勒索攻击:1.58亿条密钥泄露

被暴露的AWS密钥

攻击者正在利用AWS对抗其客户——他们滥用客户提供密钥的AWS服务器端加密(SSE-C)来加密S3存储桶数据。Halcyon RISE团队此前已详细说明过该技术。这意味着攻击者生成自己的加密密钥(AES-256),用于锁定数据,使得没有密钥就无法恢复。

这种攻击模式允许”静默入侵”,漏洞发生时不会向受害者发出警报或报告,也没有文件删除日志。威胁行为体保持存储桶结构完整。此外,攻击者似乎甚至懒得窃取数据实施双重勒索。

此前观察到攻击者设置S3生命周期策略在7天内删除加密数据,进一步逼迫受害者付款。令人担忧的是,多个案例中受影响的AWS环境仍在运行,表明受害者可能仍未意识到漏洞存在。

“部分受害者可能尚未察觉其存储桶已被加密,尤其是当受影响文件访问频率较低,或存储桶用于备份时。某些暴露的备份是空的且可能是新创建的,这使未来项目面临风险。”Diachenko表示。

研究人员还指出,攻击者在多个案例中警告受害者不要更改凭证,并通过允许测试文件恢复来提供’解密证明’。”此事件标志着云勒索策略的重大升级。其简单性使其特别危险:攻击者仅需窃取密钥——无需复杂漏洞利用。”Diachenko补充道。

他们警告称,对采用AWS原生强加密锁定的数据进行暴力破解或其他方式解密实际上是不可能的。

黑客如何收集AWS密钥?

威胁行为体收集海量AWS密钥的确切方法尚未证实。但Cybernews研究人员提出几种最可能的假设:

  1. 公共代码库泄露的AWS密钥:密钥凭证常被误提交至GitHub、Bitbucket等平台。攻击者随后使用TruffleHog、Gitleaks等工具爬取这些代码库获取密钥。

  2. 不安全的CI/CD(持续集成/持续部署)工具:Jenkins或GitLab Runner常存储AWS密钥。这些密钥可能因配置错误部署或弱凭证而暴露。

  3. Web应用中配置错误的.env和config.php或JSON配置文件:这些文件本应保密,但因配置错误可能导致凭证泄露。

  4. 泄露与入侵事件:被入侵的开发工具、云控制面板或密码管理器可能成为来源。黑客可从非法市场收集凭证。

  5. 陈旧/被遗忘的IAM用户:许多云环境中普遍存在极少轮换且长期有效的非活跃IAM用户凭证,这些是静默攻击的主要目标。

攻击者还可通过其他多种方式提取凭证。此前Cybernews研究发现,iOS应用平均包含5个硬编码密钥,可能导致泄露与数据泄露。

如何保护云存储桶?

AWS凭证本应保密。Cybernews研究人员建议通过以下方法强化AWS环境:

  1. 立即审计所有IAM凭证。停用未使用的密钥并轮换有效密钥。

  2. 实施AWS Config和GuardDuty服务以检测可疑访问模式。

  3. 使用自动化工具扫描公共代码库是否泄露密钥。

  4. 强制使用短期临时令牌,并从应用中移除硬编码凭证。

  5. 对所有IAM角色应用最小权限原则。

  6. 监控存储桶中warning.txt等未知新文件。

  7. 配置策略限制SSE-C使用,并启用详细日志记录以检测异常活动。

Cybernews已将暴露实例通报AWS。我们也联系对方寻求更多评论,收到回复后将予以补充。

AWS鼓励所有客户遵循安全、身份与合规最佳实践。若客户怀疑遭受入侵,可先参考本文列出的步骤或联系AWS支持团队。

转载请注明出处@安全威胁纵横,封面来源于网络;

消息来源:https://cybernews.com/security/aws-cloud-storage-bucket-ransomware-attacks/

    更多网络安全视频,请关注视频号“知道创宇404实验室”

原文始发于微信公众号(安全威胁纵横):AWS S3存储遭大规模勒索攻击:1.58亿条密钥泄露

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月21日00:48:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   AWS S3存储遭大规模勒索攻击:1.58亿条密钥泄露https://cn-sec.com/archives/3976034.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息