Codefinger adlı bir fidye yazılımı çetesi, hedef kuruluşların AWS S3 klasörlerinde depolanan verileri, müşteri tarafından sağlanan anahtarlarla (SSE-C) AWS’nin sunucu tarafı şifreleme seçeneğiyle şifreliyor ve kullandıkları anahtarı teslim etmek için para istiyor.
Verileri önceden dışarı çıkarmazlar, ancak şifrelenmiş dosyaları yedi gün içinde silinmek üzere işaretlerler, böylece kuruluşlar üzerinde fidyeyi ödeme konusunda daha fazla baskı oluştururlar.
Saldırı nasıl gelişiyor?
Tehdit aktörü, hedeflerin daha önce güvenliği ihlal edilmiş (çalınmış veya yanlışlıkla sızdırılmış) S3 nesnelerini okuma ve yazma izinlerine sahip AWS anahtarlarından yararlanır.
“Saldırgan şifreleme işlemini, x-amz-sunucu-tarafı-şifreleme-müşteri-algoritması Halcyon araştırma ekibi, “başlık bilgilerini yerel olarak oluşturup depoladıkları bir AES-256 şifreleme anahtarını kullanarak kullanıyorlar” diye açıkladı.
“AWS, şifreleme işlemi sırasında anahtarı işler ancak saklamaz. Bunun yerine AWS CloudTrail’de yalnızca bir HMAC (karma tabanlı mesaj kimlik doğrulama kodu) kaydedilir. Bu HMAC, anahtarı yeniden oluşturmak veya verinin şifresini çözmek için yeterli değil.”
Bu nedenle hedef kuruluşlar, şifrelenmiş verilerin bir yedeğine sahip olmadıkları takdirde fiilen ödeme yapmak zorunda kalırlar. Ve müzakere sırasında, saldırganların sessiz kalıp kurbanları asılı bırakmakla tehdit etmesi nedeniyle hesap izinlerinde değişiklik yapmaları engelleniyor.
Mağdur olmaktan kaçının
Ekip, verilerini AWS S3 klasörlerinde depolayan kuruluşların bu bilgiyi ciddiye alması ve saldırı yönteminin daha geniş çapta benimsenmesi öncesinde bu tür bir saldırıyı imkansız hale getirmek için harekete geçmesi gerektiğini söylüyor. (Son haftalarda vurulan iki organizasyonu biliyorlar.)
“SSE-C’nin S3 paketlerine uygulanmasını önlemek için IAM politikalarında Koşul öğesini kullanın. Politikalar, bu özelliği yetkili veriler ve kullanıcılarla sınırlandıracak şekilde yapılandırılabilir” tavsiyesinde bulundular.
“Gerekli minimum erişime sahip olduklarından emin olmak için tüm AWS anahtarlarının izinlerini düzenli olarak inceleyin. Kullanılmayan tuşları devre dışı bırakın ve aktif olanları sık sık değiştirin.”
Ayrıca olağandışı etkinliklerin hızla tespit edilip harekete geçilebilmesi için S3 işlemleri için ayrıntılı günlük kaydının etkinleştirilmesini de tavsiye ettiler.
AWS, kamuya açık müşteri anahtarlarının farkına vardığında, bunları otomatik olarak “karantinaya” alır ve böylece onlarla yapılabileceklere sınırlama getirir (araştırmacılar daha önce bunun bile potansiyel hasarı önlemek için yeterli olmadığını bulmuşlardır).
Amazon’un bulut bilişim yan kuruluşu, Halcyon’un bulgularını şöyle yorumladı: “AWS, kimlik bilgilerinin kaynak kodunda veya yapılandırma dosyalarında saklanması ihtiyacını ortadan kaldıran zengin bir yetenek seti sağlıyor.”
“IAM Rolleri, uygulamaların otomatik olarak dağıtılan, sık sık dönüşümlü olan ve sıfır müşteri yönetimi gerektiren kısa vadeli kimlik bilgilerini kullanarak EC2 örneklerinden, ECS veya EKS kapsayıcılarından veya Lambda işlevlerinden güvenli bir şekilde imzalı API istekleri yapmasına olanak tanır. AWS bulutunun dışındaki bilgi işlem düğümleri bile, Roles Anywhere özelliğini kullanarak uzun vadeli AWS kimlik bilgileri olmadan kimliği doğrulanmış aramalar yapabilir” dediler.
“Geliştirici iş istasyonları, MFA belirteçleri tarafından korunan uzun vadeli kullanıcı kimlikleri tarafından desteklenen kısa vadeli kimlik bilgileri elde etmek için Kimlik Merkezi’ni kullanıyor. Tüm bu teknolojiler, uzun vadeli AWS güvenlik kimlik bilgilerini bir uygulamaya dağıtmadan veya kod veya yapılandırma dosyalarına yerleştirmeden AWS kaynaklarına erişimi kontrol edebilen geçici güvenlik kimlik bilgileri sağlamak için AWS Security Token Service’e (AWS STS) güveniyor.”