Saldırganlar genellikle bir kuruluşun bulut varlıklarına, kimlik avı yoluyla elde edilen güvenliği ihlal edilmiş kullanıcı erişim belirteçlerinden yararlanarak, kötü amaçlı yazılım kullanarak veya bunları genel kod depolarında bularak erişim sağlar.
Bunlar, bir AWS IAM veya birleştirilmiş kullanıcılarla (yani, üçüncü taraf kimlik platformu aracılığıyla kimliği doğrulanmış kullanıcılar) ilişkili uzun vadeli erişim belirteçleridir. Kullanıcılara (ister meşru ister kötü niyetli olsun) belirli roller ve ayrıcalıklar verirler.
İzin düzeyi yeterince yüksekse, güvenliği ihlal edilmiş bu kullanıcı hesabı, uzun vadeli erişim jetonlarına sahip ek IAM kullanıcıları oluşturabilir.
Ancak aynı zamanda, AWS’nin Güvenli Token Hizmeti (STS) aracılığıyla talep üzerine oluşturulan ve maksimum 36 saat boyunca geçerli olan kısa vadeli erişim belirteçlerine ve dolayısıyla bulut varlıklarına zaman sınırlı erişime sahip olacak kullanıcılar da oluşturabilir.
Bunu neden yapsınlar diye sorabilirsiniz. Uzun vadeli erişim jetonları her zaman daha iyi bir seçenek değil mi?
Saldırganlar daha fazla erişim jetonu elde etmek için AWS STS’yi kötüye kullanıyor
“Ekstra STS tokenleri, IAM kullanıcı tokenının iptal edilmesi durumunda etkili bir şekilde sigorta görevi görüyor. Herhangi bir ek [long-term access] oluşturmuş olabilecekleri jetonlar boşta durur ve yalnızca ilk işlem gerçekleştiğinde bu işlemi yeniden başlatmak için kullanılır. [long-term access] belirteç ve sonraki [short-term access] tokenlar keşfedildi ve iptal edildi,” diye açıkladı Red Canary tespit mühendisleri Thomas Gardner ve Cody Betsworh.
Saldırganlar birçok erişim jetonunu ele geçirmek için AWS STS’yi kötüye kullanabilir. (Kaynak: Kızıl Kanarya)
“Kısa vadeli tokenları kötüye kullanmanın ek bir faydası da uzun vadeli tokenları gizlemeye yardımcı olmasıdır. [access] Özellikle AWS altyapılarından doğru günlükleri toplamayan veya izlemeyen kuruluşlardan bunları oluşturmak için kullanılan belirteç. Bu nedenle, kuruluşlar kısa vadeli tokenlarla köstebek vurma oyunu oynayabilir, bunları geçici olarak silebilir ve bunları oluşturmak için kullanılan uzun vadeli tokeni asla tanımlayamazlar.
Saldırganlar böylece bulut varlıklarına erişimi daha uzun süre koruyabilir ve bu erişimi yatay hareket etmek, ayrıcalıkları yükseltmek, verileri sızdırmak vb. için kullanabilir.
Aramak ve yok etmek
Gardner ve Betsworh, AWS ile çalışan savunucuların, saldırganların AWS’nin Güvenli Token Hizmetini kötüye kullandığı gerçeğine aşina olması, bu kötüye kullanımın nasıl tespit edilebileceğini bilmesi ve AWS’ye yetkisiz giriş yapıldığını tespit etmeleri durumunda ne yapacaklarını bilmeleri gerektiğini ileri sürüyor.
İstismarın tespit edilebilmesi için savunucuların şu özelliklere sahip olması gerekir:
- AWS hesaplarıyla ilgili tüm olay verilerinin analiz için günlüğe kaydedilmesi (AWS CloudTrail hizmeti aracılığıyla)
- Rol zincirleme olaylarını ve MFA kötüye kullanımını tespit etmek için uyarı oluşturun ve zincirlenmiş kimlik bilgilerini belirteç veya MFA cihazına göre tanımlamak için sorgular oluşturun
- Bir tehdide yanıt vermeden önce hesap incelemesi için bir süreç oluşturun
Yetkisiz AWS oturum açma işlemlerini veya veri sızdırma kanıtlarını keşfederlerse, temizleme işlemi, saldırıda kullanıldığı doğrulanan tüm geçici kimlik bilgilerinin izinlerinin iptal edilmesini, tüm uzun vadeli erişim belirteçlerinin rotasyonunu ve bir “Tümünü Reddet” politikasının oluşturulmasını içermelidir. Belirteçleri şüpheli etkinliğe karışan kullanıcılar için.
“Düşman tarafından oluşturulan tüm kaynakları silin ve üretim varlıklarını etkileyen aktif kısa vadeli belirteçleri belirlemek için tüm CloudTrail günlük verilerini yineleyin” diye eklediler.