亚马逊 S3 存储桶讹诈软件攻防详解(上) | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

亚马逊 S3 存储桶讹诈软件攻防详解(上)

申博_新闻事件 申博 150次浏览 已收录 0个评论

进击向量简介

经由历程我们的云平安研讨,我们在犀牛平安实验室(Rhino Security Lab)开辟出了一个观点考证的云讹诈软件,该讹诈软件运用 KMS 加密亚马逊 S3存储桶内的 AWS 帐户对象。 进击者应用这个讹诈软件取得对受害者体系的接见掌握权限,并对受害者体系上的敏感数据举行加密。 与此同时,进击者还会要挟受害者,示知受害者,假如受害者不在某一时限内付款,就会删除或公然辟布数据。 一般,这些进击的目标是效劳器、事变站和相似的设置,但与许多进击一样,这类进击也有云等效的性子。

S3讹诈软件是异常具有破坏性的,我们的研讨和博客文章并不盘算以任何体式格局辅佐进击者实行进击。 由于这个缘由,本博客只宣布一个迟缓的观点考证剧本,因而辩解者可以测试他们的防备。 关于防备者和蓝队,我们在这篇文章的第二部份中议论了怎样防备和防备 S3讹诈软件。

亚马逊 S3 AWS KMS

关于那些不熟悉 Amazon S3 的用户来讲,你们可以将 Amazon Simple Storage Service (简称 Amazon S3)明白为是一种经由历程 Amazon Web Services 供应的一个硬朗的静态文件托管效劳。 亚马逊示意S3可以用于存储和庇护任何数目标数据,用于一系列用例,如网站、挪动应用程序、备份和恢复、存档、企业应用程序、物联网装备和大数据分析 在较高的级别上,S3桶(bucket对象(objects构成,个中对象是存储在桶中的文件。

AWS 密钥治理效劳(AWS KMS)本质上是 AWS 供应的一种托管加密密钥效劳。 亚马逊将其定义为一种效劳,”使你可以轻松地建立和治理密钥,并在种种 AWS 效劳和应用程序中掌握加密的运用

S3 存储桶

S3 bucket 不会自动在效劳端举行加密,这意味着在没有设置的情况下,一切文件都将以明文情势存储在 亚马逊的效劳器上。 Bucket 可以有一个默许的加密设置,当某个人试图上传一个没有加密的文件时,这个设置可以用作回滚机制。 在这类情况下,默许的加密要领将见效,并确保文件没有以明文的情势存储在效劳器上。

S3 存储对象

单个对象也可以与存储桶上的默许加密离开加密,除非在存储桶的战略中强迫实行。 这意味着,假如在 存储桶上设置了默许加密要领(或许基础没有) ,文件的上传东西可以决议在上传时怎样加密文件,这将掩盖 存储桶 的默许设置。

KMS 加密

AWS KMS S3对象加密集成在一同,由于你可以指定一个特定的 KMS 密钥来加密存储桶中的对象。 在这类情况下,试图在 S3中检察文件的用户既须要特定的 S3对象的“S3: GetObject”权限,也须要特定的 KMS 密钥的“KMS: Decrypt”权限。 准确实行 KMS 密钥战略可以阻挠进击者读取 S3中的敏感文件。 假如进击者晋级了他们的接见权限并取得了“S3: GetObject”权限,他们依然可以没法读取 S3中的文件,由于他们没有准确的 KMS 密钥的解密权限。

KMS 密钥也可以运用交织帐户,因而,假如进击者取得了对你的 S3 存储桶的接见权限,他们可以运用只为你供应加密权限的交织帐户的 KMS 密钥对你的存储对象举行加密。 由于你不能掌握用于加密文件的 KMS 密钥,这意味着你没法检察本身的文件。

进击途径

作为这项研讨的一部份,我们编写了一个针对 S3存储桶和对象实行讹诈软件进击的高等东西。 该东西可以处置惩罚目标环境中的种种选项和设置,而且是特地为进步速率而编写的。 然则,由于我们的研讨和宣布博客文章的目标不是在辅佐进击者,因而,我们将不会宣布该进击东西。 相反,你可以鄙人面的测试你的存储桶部份中找到一个测试剧本,该剧本旨在协助防备者和蓝队提防这类进击。

进击步骤

1. 进击者建立一个 KMS 密钥在他们本身的个人“AWS 帐户(或其他被黑掉的帐户) ,并供应公然接见权限,以后运用该 KMS 密钥举行加密。 这意味着任何 AWS 用户 / 角色 / 帐户都可以运用它举行加密,然则不能解密 S3 存储桶中的对象。

2. 进击者肯定一个 S3 存储桶作为进击目标并取得对它的写操纵接见权限,经由历程种种差别的手腕是可以做到的。 这可以包括应用已公然暴光的设置不当的存储桶 或许进击者取得对 AWS 环境本身的接见权。一般来讲,进击者会将敏感信息作为进击目标,比方 PII PHI、日记、备份数据等等

3. 进击者会搜检存储桶的设置来肯定它是不是能成为讹诈软件的进击目标。 搜检事变包括搜检是不是启用了 S3对象版本掌握,是不是启用了两重身份考证删除(MFA delete) 假如没有启用对象版本掌握,那末它们就可以将该存储桶作为进击目标。 假如启用了对象版本掌握,但禁用了 MFA 删除,则进击者只能禁用对象版本掌握。 假如同时启用了对象版本掌握和 MFA 删除,则须要许多分外的事变才完成对指定存储桶实行讹诈软件进击。

4. 进击者运用 AWS API 用本身的新副本替代存储桶中的每一个对象,注重这里进击者是运用本身的 KMS 密钥举行了加密。

5. 进击者按期删除用于此次进击的 KMS 密钥,给他们的目标设置一个7天的时候窗口,直到密钥被完整删除,谁人时候,数据将会永久丧失。

6. 进击者上传终究文件比方:未加密的“ransom-note.txt” ,在该文件中通知受害者怎样猎取他们本身的文件。 

下面的屏幕截图显现了一个被讹诈软件进击或文件被加密的例子。 如你所见,具有用于加密对象的 KMS 密钥的帐户 ID (7 * * * * * * * * * * 2)与具有对象的帐户 ID (2 * * * * * * * * * 1)并非同一个。

  亚马逊 S3 存储桶讹诈软件攻防详解(上)

下一个屏幕截图中显现了当对象一切者运用预署名 URL 试图检察对象时发作的事变。 接见被谢绝,由于纵然对象一切者具有检察对象的权限,他们也没有运用 KMS 密钥解密已被加密的对象的权限,因而体系阻挠了对这些已被加密了的对象的接见。

  亚马逊 S3 存储桶讹诈软件攻防详解(上)

进击特性

为了测试这类进击并检察其可行性,我们对某个 S3存储桶运转了 Rhino 开辟的一个内部东西,该存储桶存储了约莫2000个差别大小的文件,统共约莫100GB 的数据。 讹诈软件对全部存储桶实行进击(加密每一个零丁的对象)的历程只须要147秒。

  亚马逊 S3 存储桶讹诈软件攻防详解(上)

罕见的 CloudTrail 日记可以须要15分钟才通报到一个 S3存储桶中,但在测试中发明,CloudTrail S3数据事宜日记的通报约莫只须要5分钟。 5分钟发送日记比15分钟好得多,但问题5分钟依然太长。 我们上面的测试显现,约莫2000个文件,统共约莫100GB 的数据可以在1分钟47秒内赎回,这远远低于5分钟的限定。 经由历程跟踪这些数字(理论上——现实效果依据单个文件的大小而略有差别) ,进击者每秒可以对凌驾900 MB 的数据实行讹诈进击。 这意味着在5分钟的时候内,他们可以在你有时机看到发作了什么之前,就对约莫270GB的数据实行讹诈进击。

接下来要斟酌的事变是,一旦你晓得发作了什么后,你的回响反映须要有多快。 比方,从第一次日记通报到进击者试图讹诈你的数据并阻挠他们接见你的环境,你可以须要5分钟的时候来采用行为。 基于这一点,进击最先10分钟后,约莫有540GB 的数据已被加密。 为了给出一些透视图,下面的列表是依据一个 G 的数据有多大?——来自 iClick”中的数据计算出来的。

540GB 的数据,以罕见的文件范例示意以下:

· 3 60,000 1.5 MB 照片

· 3601.5 GB 的影戏

· 135,0004mb 的歌曲

固然,这只是一个估值,另有许多要素须要斟酌,但这只是给出了一个关于540GB 数据现实上是多少的观点。 上面的列表表明,不管你的相应速率有多快,进击者依然可以对大批的数据实行讹诈软件进击。 这就是为何除了实行事宜相应设计以外,你还须要尽量的防备这类进击,这一点是极其主要的。

S3讹诈软件观点证实(PoC

域渗入——AdminSDHolder

0x00 前言 AdminSDHolder是一个特殊的AD容器,具有一些默认安全权限,用作受保护的AD账户和组的模板。 Active Directory将采用AdminSDHolder对象的ACL并定期将其应用于所有受保护的AD账户和组,以防止意外和无意的修改并确保对这些对象的访问是安全的。 如果能够修改AdminSDHolder对象的ACL,那么修改的权限将自动应用于所有受保护的AD账户和组,这可以作为一个域环境权限维持的方法。 本将要参考公开资料,结合自己的理解,介绍利用方法,补全清除ACL的方法,分析

我们还编写了一个简朴的观点考证剧原本演示这类进击,以便防备者可以测试它,并愿望可以缭绕它构建检测计划。 此剧本只对禁用了对象版本掌握的存储桶有用。

这个剧本可以在我们的 GitHub 找到,它会实行以下操纵:

1. 收集存储桶中的前100个对象(假如存储桶中的对象少于100个,则收集一切对象)

2. 运用新的 KMS 加密密钥一个一个地掩盖每一个对象

剧本运用

要运用 PoC 剧本,请修正“aws_cli_profile”“bucket_name”“kms_key_arn”的值以婚配你的环境,然后运用 Python 3.6 + 运转该剧本。

变量申明:

· aws_cli_profile:用于 AWS 身份认证的 AWS CLI 设置文件 (~/.aws/credentials).

· bucket_name:目标 S3 存储桶的称号

· kms_key_arn: 用于进击的 KMS 密钥的 ARN

下面是剧本运转和输出的屏幕截图:

  亚马逊 S3 存储桶讹诈软件攻防详解(上)

由于你指定了要运用的 KMS 密钥和要运用的 S3存储桶,所以你不应当落空对数据的接见权限(比方,假如一个真正的进击者在你的 S3存储桶上运用了本身的 KMS 密钥) 然则要郑重,不要针对临盆环境或主要数据运转此剧本。

结论和防备性掌握

讹诈软件是一种极具要挟性的进击载体,近年来变得愈来愈盛行。 进击者可以在短时候内讹诈软件的数据量是异常主要的。 进击者在延续行进,因而防备者须要抢先一步,以防备一些传统的进击体式格局变成基于云的进击。

S3讹诈软件关于一个构造来讲是异常风险的,然则防备者可以运用种种简朴和庞杂的防备机制来防备这类进击。

注重: 这篇文章不仅议论了针对 S3讹诈软件的防备机制,还提到了一些主要的且罕见的平安问题,你应当在 AWS 账户中遵照这个准绳。

S3 讹诈软件概述

正如本博文的前文所论述的,S3讹诈软件是一种可以对公司形成极大影响的进击。 S3讹诈软件是指进击者可以接见受害者的 S3 存储桶,然后用本身的新副本替代每一个对象,但用进击者的 KMS 密钥举行加密。 受害者将不再可以接见他们本身的 S3对象,须要恪守进击者的要求才取得这些对象(或许消费分外的时候本钱冒着去政府或 AWS 举行事宜相应的风险)

S3讹诈软件平安掌握

虽然 S3讹诈软件关于进击者来讲可以相称直接地实行,然则假如有准确的防备步伐,你可以庇护本身。 有许多差别的要领来防备和防备 S3讹诈软件进击,下文旨在概述这些差别的要领。

防备及防备进击的要领

斟酌到每种要领本身的本钱、勤奋和影响,在防备和防备 S3讹诈软件时,没有某个单一的要领可以作为防备银弹 相反,下面的要领意味着要遵照一系列优越的实践。 并非每一个要领都适用于每一个环境,因而明白一切要领并可以挑选在本身的环境中完成的最好要领异常主要。

要领#1: 遵照平安最好实践来防备对你的帐户的未经受权的接见

这是针对讹诈进击最显著的防备,由于它本质上意味着不要让未经受权的人进入你的环境,但这说起来轻易做起来难。 关于这类辩解,有许多事变要做,我在这里列出了一些比较主要的事变:

· 让一切用户运用暂时的要领,而不是运用长期有用的凭据(运用 IAM 角色而不是 IAM 用户)接见环境

·  Git 堆栈中建立预吸收钩子(点击这里检察更多信息)来看管可以包括预期以外的凭据的提交要求,并在开辟人员宣布接见密钥或凭据之前谢绝操纵。

· 与你的团队一同按期举行收集垂纶 / 社会工程学进击培训,教会员工怎样辨认目标进击

· 对每一个人在任何须要身份认证的处所( AWS Web掌握台和 AWS 接见密钥) 实行两重身份考证(MFA) 这可以让针对猎取了凭据的进击者(但依然不是不可以)现实运用这些凭据的门坎更高。

· 假如不能尽量的强迫实行 MFA,可以强迫实行长的、庞杂的暗码,然后强迫暗码在一个合理的时候距离内逾期,而且不允许重复运用暗码。

· 确保关于任何具有 AWS 接见权限的应用程序具有壮大的应用程序平安性。 这有助于防备效劳端要求捏造(SSRF)进击 EC2 实例的元数据或应用当地文件读取、长途代码实行破绽从 AWS CLI 或环境变量读取凭据。

· 按期审计和看管你的帐户和构造内委派的 IAM 接见权限(运用相似Security Monkey  作者: Netflix的东西).

另外,可以斟酌浏览这篇关于 AWS 账户是怎样被入侵的博文。

要领 #2: 遵照最小权限准绳

这类防备要领包括设置你的环境和委派接见权限,以便没有人具有凌驾他们应有的接见权限。 这意味着关于任何用户(角色、用户组等) ,他们应当只具有他们须要运用的 IAM 权限,而且这些权限应当只允许在他们须要运用的资本上运用。

比方,对任何资本(“*”)授与一个简朴的“s3: PutObject”权限可以意味着对你帐户中的每一个存储桶举行大规模讹诈软件进击。 经由历程将资本限定到一个特定的存储桶,比方“arn:aws:s3:::example_bucket”,那末只要谁人特定的 存储桶 可以被进击者作进击目标。

最小特权准绳应当同时应用于 IAM 战略级别和资本战略级别(比方 S3 存储桶战略) ,如许才最有用。

原文地点: https://www.4hou.com/technology/19658.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明亚马逊 S3 存储桶讹诈软件攻防详解(上)
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址