Bilgisayar korsanları, API anahtarları, oturum açma bilgileri ve bu depolama çözümlerinde saklanan diğer yararlı veriler dahil olmak üzere en gizli ve değerli bilgilerin bazılarına erişmek için kasaları, klasörleri ve sırları hedef alır.
Bu depolama çözümlerinin merkezileştirilmiş ve çoğu zaman yeterince korunmayan yapısı, onları tehdit aktörleri için istisnai hedefler haline getiriyor.
DATADOG Güvenlik Laboratuarlarındaki siber güvenlik analistleri, bilgisayar korsanlarının verileri çalmak için kasalara, klasörlere ve sırlara saldırdığını keşfetti.
AWS Kasalarına Saldıran Bilgisayar Korsanları
Analistler, 23.05.2024 ile 27.05.2024 tarihleri arasında tehdit avı sırasında bir müşterinin AWS’sinde anormal davranışlar tespit etti. IP 148[.]252.146.75, ListSecrets ve ListVaults API çağrılarını denedi.
Potansiyel bir Birleşik Krallık Vodafone konut vekili olarak zenginleştirilmiştir. Başka bir AWS’deki etkinlik, S3 klasörlerini numaralandırmak için ListBuckets’i ve ardından kullanılabilir klasörlerdeki ListObjects’i (olay zamanlarına göre otomatikleştirilmiş) içeriyordu.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot
Etkinleştirilen S3 veri olaylarına rağmen hiçbir GetSecretValue, BatchGetSecretValue veya GetObject gözlemlenmedi. Sebepler şöyle olsa da: –
- Sızmadan önce mevcut verileri değerlendiren geniş otomatik kampanya
veya
- Yeniden satış değerinin belirlenmesi için AWS kimlik erişim düzeyinin test edilmesi
İlk olarak saldırganın S3 Glacier kasası yedekleme verilerini hedef aldığı görüldü. Başarısız numaralandırmanın ardından, sonraki InitiateJob çağrılarının kasa arşiv listesini ve belirli arşivi alması ve ardından GetJobOutput’un indirilmesi bekleniyordu.
Saldırganlar genellikle AWS API çağrıları diğer VPN sağlayıcılarına göre daha az şüpheli görünebilen ücretsiz Cloudflare WARP gibi VPN’leri kullanarak konumu maskeler.
Sigv4 imzalamayı otomatik olarak işleyen tipik AWS CLI veya Boto3 SDK kullanımının aksine, request-auth-aws-sigv4 Python kitaplığı, muhtemelen AWS API isteklerini manuel olarak imzalamak için tanımlanan kullanıcı aracısını oluşturmuştur.
İmzalamayı manuel olarak yönetmek gerçek bir avantaj sağlamaz ancak ortamınızda beklenmeyen bir durum olması durumunda şüpheli aktiviteye işaret edebilir.
Öneriler
Araştırmacılar, üretim LLM verilerinin ve kaynaklarının bulut ortamınızdan sızmasının potansiyel ciddi operasyonel etkisi nedeniyle tespit ve müdahale ekiplerinin bu kampanyayı yakından incelemesini öneriyor.
Aşağıda tüm tespit fırsatlarından bahsettik: –
- Belirli kampanyaları tespit etmek için IoC’leri kullanın.
- API çağrıları bekleniyorsa CloudFlare IP’lerini zenginleştirin.
- Kısa sürede birden fazla bölge ListSecret/ListVault.
- Gözlemlenen verilerde 1 dakikanın altında 17 bölge.
- ListSecrets, ListBuckets, ListObjects ve ListVaults için Erişim Engellendi’de ani artışlar.
- Şüpheli Erişim Reddedildi ani artışları, uygun izinlerin bulunmadığını gösterir.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free