亚马逊 S3 存储桶讹诈软件攻防详解(下) | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

亚马逊 S3 存储桶讹诈软件攻防详解(下)

申博_安全防护 申博 28次浏览 未收录 0个评论

S3 讹诈软件概述

正如本博文的第一部份所论述的,S3讹诈软件是一种可以对公司形成极大影响的进击。 S3讹诈软件是指进击者可以接见受害者的 S3 存储桶,然后用自身的新副本替代每一个对象,但用进击者的 KMS 密钥举行加密。 受害者将不再可以接见他们自身的 S3对象,须要恪守进击者的请求才取得这些对象(或许消费分外的时候本钱冒着去政府或 AWS 举行事宜相应的风险)

要领 # 3: 在你的账户中纪录和监控运动

你应当一直在你的帐户中启用 AWS CloudTrail 抱负状况下,CloudTrail 应当掩盖一切账户的一切地区,纪录读写治理事宜,纪录 S3 存储桶 Lambda 函数的数据事宜,启用日记文件加密,并启用日记文件考证。

依据你的预算,纪录帐户中每一个存储桶的数据事宜能够并不老是有意义的,因为假如常常接见这些事宜,那末它们能够会变得相称消耗资金本钱。 假如你没有为每一个存储桶纪录数据事宜,那末纪录的存储桶包含敏感内容是异常主要的。 经由过程这类体式格局,你可以检察谁在接见你的数据、他们怎样接见数据以及他们从那里接见数据的细粒度详细信息。

Cloudtrail 中的日记文件考证可以协助确保你的日记文件在读取之前不会被修正,因而你可以100% 信托正在检察的内容。 启用考证是异常主要的,然则要确保现实考证的确是你的日记(运用相似于“aws cloudtrail validate-logs”之类的敕令) ,因为纵然启用了设置,你也不会收到日记修正的正告。

除了 CloudTrail 以外,还应当启用像 AWS GuardDuty 如许的东西来看管帐户内的歹意运动。 这些警报以及你的 CloudTrail 日记应当被导出到外部的 SIEM,以便进一步搜检和看管。

假如你运用 AWS 构造,你应当在构造级别启用 CloudTrail GuardDuty 并将它们应用于你的子帐户。 如许,子帐户中的进击者就不能修正或禁用任何主要设置。

依据你的预算和其他要素,可以斟酌为其他资本启用其他范例的日记和看管东西。 这能够包含像弹性负载均衡器(Elastic Load Balancer)接见日记或基于主机的 EC2实例日记之类的东西,或许能够启用像 AWS Inspector AWS Config 之类的东西。

要领 # 4: S3对象版本掌握和 MFA 删除

这多是针对 S3讹诈软件防备的最主要的要领,但能够异常高贵的防备要领。 S3 对象版本掌握许可 S3对象被版本化,这意味着假如一个文件被修正,那末两个副本都作为一种汗青保存在存储桶中。 假如上传的文件与存储桶中已存在的文件名雷同,也会发作一样的状况。 这里的一个示例场景是一个存储 CloudTrail 日记的存储桶版本。 假如进击者修正了一个日记文件以删除他们运动的陈迹,那末防备者可以比较文件的旧版本和当前版本,以确实地看到进击者删除了什么。

S3对象版本掌握自身是不够的,因为理论上,进击者可以禁用版本掌握并掩盖或删除存储桶中的任何现有版本,而不必忧郁会建立新的版本。 为了处理这个题目,AWS 供应了 S3 存储桶中的两重身份考证删除功用。启用 MFA 删除功用将迫使 MFA 被用来做以下两件事中的一件:

1. 变动指定 S3存储桶的版本掌握状况(即禁用版本掌握)。

2. 永远删除对象版本。

假如版本掌握和 MFA 删除都在存储桶上启用,那就意味着进击者须要拿到 root 用户及其 MFA 装备来禁用版本掌握和 MFA 删除。 这在理论上是能够的,但在实践中是不太能够的。

要领 # 5: 存储桶战略和 ACL

眼下的燃眉之急是不要让民众打仗到你的存储桶。 可以经由过程种种差别的体式格局公然接见存储桶及存储桶中的对象,形成这类风险最常见的罪魁祸首是存储桶 ACL 或存储桶战略。

在大多数状况下,你应当完全防备运用存储桶 ACL,但偶然因为几个差别的缘由,这是不能够的。 这是一种治理接见存储桶的旧的托管体式格局,它不许可细粒度的接见掌握。 假如你受权或人接见 ACL 中的“List 对象,他们可以在单个 API 挪用中取得 存储桶 中一切对象的列表,并可以读取这些文件中的任何文件。 假如你授与或人接见 ACL 中的写对象的权限,这意味着他们可以在存储桶中建立、掩盖和删除对象。 这两点足以成为防备运用 ACL 的来由。

你应当运用存储桶战略而不是 ACL,因为它许可最细粒度的权限治理。 你可以只授与 ACL 中的两个权限中的一个,而不是授与用户列表和读权限。 你以至可以实行进一步的限定,比方只对存储桶中的少数对象举行读接见。 比方,假如你的网站直接从你的 存储桶 中读取 S3对象,那末它不须要列出 存储桶 中的每一个对象的权限,因为它应当已晓得它正在取什么。 在这类状况下,你可以在 存储桶 战略中授与它“s3: GetObject”,而不是在列表中授与它,并在 ACL 中读取它。 与经由过程 ACL 授与建立或掩盖和删除对象权限差别,你可以授与个中一个权限并施加进一步的限定,如上所述。

S3 存储桶 战略的另一个特征是,它们可以实行特定范例的加密。 这方面的例子是强迫一切上传的文件运用 AES256举行加密,或许强迫一切上传的文件运用特定的 AWS KMS 密钥举行加密。 这可以用来防备 S3讹诈软件,因为抱负状况下,进击者无权修正存储桶的战略。

你可以设置你的存储桶战略,只许可上传运用你的特定 KMS 秘钥加密的对象。 在这类状况下,进击者将不能运用你在战略中没有指定的另一个 KMS 密钥,这关于讹诈该存储桶是必要的。 然后他们会获得一个谢绝接见的毛病音讯,终究防备了进击。

下面是一个 S3 存储桶 战略的例子,它强迫必需运用一个特定的 KMS 密钥对文件举行加密后才上传:

{"Version":"2012-10-17","Statement":[{"Effect":"Deny","Principal":"*","Action":"s3:PutObject","Resource":["arn:aws:s3:::my-bucket-name\/*","arn:aws:s3:::my-bucket-name"],"Condition":{"StringNotEquals":{"s3:x-amz-server-side-encryption-aws-kms-key-id":"arn:aws:kms:REGION:ACCOUNT-ID:key\/KEY-ID"}}}]}

关于 S3操纵、资本和前提密钥的更多信息可以在这里找到

要领 # 6: 帐户局限内的 S3 大众接见设置

CVE-2019-9506:KNOB蓝牙漏洞分析

漏洞概述 CVE-2019-9506漏洞,也称为KNOB漏洞,是加密密钥协商协议(encryption key negotiation protocol)中存在的漏洞,两个蓝牙BR/EDR设备在配对进行安全连接时可以选择一个熵值作为加密密钥。该漏洞影响超过10万启用蓝牙的设备,包括智能手机、笔记本电脑、物联网设备和工业设备等。攻击者利用该漏洞可以对两个设备之间传输的数据进行监听。 该漏洞可以让远程攻击者以较近的距离来对目标设备进行拦截、监控、操作两个配对设备之间的加密蓝牙流量。 蓝牙

假如你忧郁你的开发人员能够会向你的存储桶供应大众可接见性,那末你可以应用帐户局限的选项来阻挠大众 ACL 和大众战略见效。 请注重,这适用于你帐户中的每一个存储桶,假如你依赖于对帐户中特定存储桶的跨帐户或大众接见,则能够会致使题目。

假如你可以考证针对你的一切存储桶的大众接见的阻挠设置是准确的,那末你应当斟酌为你的帐户启用帐户局限的 S3大众接见设置。

  亚马逊 S3 存储桶讹诈软件攻防详解(下)

上面的屏幕截图显现了 AWS Web 掌握台中某个示例帐户的大众接见设置。 在本例中,一切现有的大众存储桶 ACL 和一切现有的大众存储桶战略都将被阻挠,这意味着因为这个更高层级的大众接见设置,它们现实上不会授与大众接见权限。 另外,新的 ACL 和授与大众接见权限的战略也将被阻挠。

要领 # 7: 备份

末了,固然,你须要备份你的数据! 无论是运用 MFA 版本化的存储桶、跨存储桶或帐户复制数据,照样以至是当地复制数据,这都是异常主要的事变。 有了充足备份的数据,你就可以疏忽进击者(固然是在事宜相应设计付诸实行以后) ,并恢复备份,然后就像从未获得讹诈进击一样。

从一次胜利的讹诈软件进击中恢复数据

假如你已成为 S3讹诈软件进击的目的,你怎样应对极能够取决于几个差别的要素。 AWS 平安部门认识到了这类进击载体的风险,但尚不肯定他们在协助你的过程当中能发挥什么作用——假如有协助的话。 假如你能接收这些分外的时候本钱,那末最好的方法就是联络有关部门,只管如许的迁延对你的公司来讲能够本钱太高了。 出于这个缘由,最好是可以对这类进击实行强有力的防备,如许你就不会堕入须要衡量你的潜伏挑选和面对的风险的局势。

事宜相应设计

假如你已成为进击目的,那末第一步就是制订你的事宜相应设计。 如许做可以下降进击者的爆炸半径,让他们阔别你的环境,并肯定他们已取得的数据和进击影响。 这就是为何在AWS 环境中设置日记纪录和看管是必不可少的缘由之一。 相识进击者接见了什么,将有助于你肯定下一步须要做什么。

搜检存储桶设置的剧本

我们编写了一个剧本,可以搜检 AWS 帐户中一切存储桶的主要设置。 这包含搜检每一个存储桶上的对象版本掌握和 MFA 删除。 你可以在我们的 GitHub 上找到这个剧本 它另有一个选项,可认为任何还没有启用它的存储桶启用对象版本掌握。

这个屏幕截图显现了针对一个易受进击的 AWS 帐户运转剧本的一些示例输出。

亚马逊 S3 存储桶讹诈软件攻防详解(下)

当翻开输出效果的 CSV 文件时,你将看到相似下面的屏幕截图(S3存储桶称号已被打码) :

  亚马逊 S3 存储桶讹诈软件攻防详解(下)

在运转这个剧本时须要注重一些参数:

-p 或 --profile: 用于 AWS 身份认证的 AWS CLI 设置文件 (~/.aws/credentials).
-b 或 --buckets: 要搜检的以逗号分开的 S3存储桶列表。这些存储桶应是你具有或最少可公然接见。假如未供应此参数,则将搜检帐户中的一切存储桶。
-e 或 --enable-versioning: 假如传递了该参数,剧本会将尝试启用状况为禁用或挂起(disabled 或 suspended)的存储桶的版本掌握。注重,剧本将不会尝试启用 MFA 删除功用,因而该操纵须要 AWS root 用户权限能启用。

下面的屏幕截图显现了激活版本掌握参数的运用状况(S3 存储桶称号再次被打码)

 亚马逊 S3 存储桶讹诈软件攻防详解(下)

CSV 文件的效果会显现任何已胜利启用其版本掌握的 存储桶。 假如剧本没法启用版本掌握(比方因为权限毛病之类的缘由) ,它将移动到下一个存储桶,并用其原始版本掌握的设置选项(“Disabled”“Suspended”)对搜检失利的存储桶举行标记。

总结

S3讹诈软件关于进击者来讲可以相称直接且简朴地实行,然则防备者可以设置种种简朴和难题的防备机制。 在最低级别上,关于防备者来讲,在一个 S3存储桶上启用版本掌握和删除 MFA 是很简朴的要领,这在大多数状况下可以有效地防备讹诈软件。

AWS 环境和敏感的 S3存储桶中完成防备机制异常主要。 虽然能够没有必要实行上面讲到的每一个要领,但必需肯定哪些进击载体和进口点最轻易受到影响,因而须要举行防护。

虽然上面讲到的要领在协助防备用户被 S3讹诈软件进击方面异常有效,但老是另有更多的防备或检测要领。 我们勉励任何读者与我们联络,议论其他的主意,如许我们可以把他们的主意添加到这篇文章中(这归功于你) ,并与其他人分享他们试图庇护自身的环境。

原文地点: https://www.4hou.com/technology/19659.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明亚马逊 S3 存储桶讹诈软件攻防详解(下)
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址