Amazon S3 klasörlerindeki verileri şifrelemek için Amazon Web Services’in (AWS) Müşteri Tarafından Sağlanan Anahtarlarla (SSE-C) Sunucu Tarafı Şifrelemesinden yararlanan yeni bir fidye yazılımı kampanyası ortaya çıktı.
Bu saldırı, AWS’deki güvenlik açıklarından ziyade meşru bulut yerel özelliklerinden yararlanmak amacıyla “Codefinger” olarak bilinen bir grup tarafından başlatıldı.
Saldırganlar, S3 nesnelerini okuma ve yazma izinlerine sahip, güvenliği ihlal edilmiş AWS hesabı kimlik bilgilerini kullanıyor. AWS’nin SSE-C özelliğini kullanarak, hedeflenen S3 klasörlerinde depolanan verileri yalnızca kendilerinin sahip olduğu AES-256 şifreleme anahtarlarıyla şifrelerler.
Bu yenilikçi yaklaşım, fidye ödemeden verileri kurtarılamaz hale getiriyor.
Dosyaları yerel olarak veya aktarım sırasında şifreleyen geleneksel fidye yazılımlarının aksine, bu saldırı, AWS’nin yerleşik şifreleme altyapısıyla sorunsuz bir şekilde bütünleşir.
AWS, şifreleme anahtarının yalnızca HMAC’sini (karma tabanlı mesaj kimlik doğrulama kodu) günlüğe kaydeder; bu, anahtarı yeniden oluşturmak veya verilerin şifresini çözmek için yeterli değildir ve saldırganların işbirliği olmadan kurtarmayı imkansız hale getirir.
Saldırganlar, dosyalar için yaşam döngüsü politikaları belirleyip bunları yedi gün içinde silinmek üzere işaretleyerek baskıyı artırıyor.
Kurbanlar, etkilenen dizinlerde Bitcoin ödeme talimatlarını ve hesap izinlerinin veya dosyalarının değiştirilmesine karşı uyarılar içeren fidye notları alıyor.
Fidye yazılımı saldırısı, “Codefinger” adlı bir grup tarafından gerçekleştiriliyor. Bir siber güvenlik firması olan Halcyon, son haftalarda iki kurban tespit etti ve bunların hiçbiri saldırı sırasında Halcyon müşterisi değildi.
Bu kampanyanın, SSE-C’nin bu şekilde istismar edildiği bilinen ilk örnek olduğuna inanılıyor.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
Saldırı Nasıl Çalışır:
Codefinger, kamuya açıklanmış veya çalınmış AWS anahtarlarını aşağıdaki işlemleri gerçekleştirmek için izinlerle birlikte kullanır: s3:GetObject Ve s3:PutObject operasyonlar.
Halcyon raporuna göre, x-amz-server-side-encryption-customer-algorithm Saldırganlar, özel olarak oluşturulmuş bir AES-256 şifreleme anahtarıyla şifrelemeyi başlatır. Bu anahtar, saldırganlar tarafından yerel olarak depolanır ve hiçbir zaman AWS tarafından günlüğe kaydedilmez veya saklanmaz.
“Saldırganlar, şifrelenmiş dosyaların yedi gün içinde silinmesini planlamak için S3 nesne yaşam döngüsü ilkelerini uygulayarak fidye ödemesi için sıkı bir müzakere penceresi yaratıyor.”
Kurbanlar, etkilenen her dizinde Bitcoin ödeme adreslerini ve benzersiz müşteri kimliklerini içeren fidye notlarını buluyor. Notlar, mağdurları hesap izinlerine müdahale edilmemesi konusunda uyarıyor ve bunun “müzakereleri sona erdireceğini” belirtiyor.
SSE-C, kullanımda olmayan verileri güvenli bir şekilde şifrelemek için tasarlanmıştır, ancak bu saldırı, özelliği kötü amaçlı amaçlarla bozar. Veriler harici bir anahtarla şifrelendikten sonra yalnızca saldırganların elinde bulunan özel şifreleme anahtarına erişim sağlanmadan şifresi çözülemez.
“AWS CloudTrail yalnızca şifreleme anahtarının HMAC’sini günlüğe kaydediyor ve bu, adli analiz veya veri kurtarma için yeterli değil. Kimlik bilgileri ele geçirildiğinde mevcut AWS korumaları bu yönteme karşı güçsüz kalır.”
Codefinger, bulutta yerel araçlardan yararlanarak fidye yazılımı saldırılarına yeni bir gelişmişlik düzeyi getirdi. Yöntemleri, siber suçlular tarafından geniş çapta benimsenmesi durumunda, kritik veri depolama için Amazon S3’ü kullanan kuruluşlar için sistemik bir tehdit oluşturabilir.
Nasıl Önlenir
Kuruluşların AWS ortamlarının güvenliğini sağlamak ve bu tür saldırı riskini azaltmak için derhal harekete geçmesi gerekiyor. Halcyon aşağıdaki önlemleri önermektedir:
1. SSE-C Kullanımını Kısıtlayın: Koşul öğesini dahil ederek SSE-C şifrelemesini kısıtlamak için IAM politikalarını kullanın. Bu, SSE-C’nin kullanımını yalnızca yetkili kullanıcılar ve verilerle sınırlar.
2. AWS Anahtarlarını İzleyin ve Denetleyin: AWS anahtarlarına ilişkin izinleri düzenli olarak inceleyin ve denetleyin. Maruziyeti en aza indirmek için kullanılmayan kimlik bilgilerini devre dışı bırakın ve etkin anahtarları sık sık değiştirin.
3. Günlük Kaydı ve İzlemeyi Güçlendirin: Toplu şifreleme veya ani yaşam döngüsü politikası değişiklikleri gibi olağandışı etkinlikleri tespit etmek amacıyla S3 işlemleri için ayrıntılı günlük kaydını etkinleştirin.
4. AWS Support’tan yararlanın: Yapılandırmanızdaki olası güvenlik açıklarını belirlemek ve özel güvenlik önlemleri uygulamak için AWS Support ile çalışın.
AWS Yanıtı
Halcyon, bulgularını Amazon Web Services’e bildirerek AWS’yi bulut güvenliğine yönelik ortak sorumluluk modelini vurgulayan bir bildiri yayınlamaya yönlendirdi.
AWS, müşterilerini açığa çıkan anahtarlar konusunda proaktif bir şekilde bilgilendirdiklerini ve bu tür olayları kapsamlı bir şekilde araştırdıklarını belirtti. Müşterilere yönelik rehberlikleri şunları içerir:
- AWS, Kimlik ve Erişim Yönetimi (IAM) rollerinin ve AWS Security Token Service (AWS STS) aracılığıyla verilen geçici güvenlik kimlik bilgilerinin kullanımını teşvik eder. Bu uygulamalar, uzun vadeli kimlik bilgilerinin kaynak koduna veya yapılandırmalara yerleştirilmesiyle ilişkili riskleri ortadan kaldırır.
- AWS Secrets Manager, veritabanı kullanıcı adları ve API anahtarları gibi AWS dışı kimlik bilgilerinin güvenli bir şekilde saklanmasına ve döndürülmesine yardımcı olarak kazara açığa çıkma olasılığını azaltır.
AWS, müşterilerin ortamlarının güvenliğini sağlamalarına yardımcı olma konusundaki kararlılığını bir kez daha doğruladı ve kuruluşları sağlam kimlik, uyumluluk ve erişim yönetimi uygulamaları uygulamaya çağırdı.
Bu fidye yazılımı saldırısı, bulut çağında siber tehditlerin artan karmaşıklığına dikkat çekiyor. Codefinger, SSE-C gibi yasal bulut özelliklerinden yararlanarak, mevcut aws araçlarının kötü amaçlarla nasıl silah haline getirilebileceğini gösterdi.
AWS kullanan kuruluşlar güvenlik duruşlarını güçlendirmeli ve bu riskleri azaltmak için proaktif önlemler uygulamalıdır. Potansiyel olarak kalıcı veri kaybı ve kurtarmanın fidye ödemeye bağlı olması nedeniyle işletmeler, bulut ortamlarının güvenliğini hafife almayı göze alamazlar.
Bu Haberi İlginç Bulun! Anında Güncellemeler Almak için bizi Google Haberler, LinkedIn ve X’te takip edin!