Codefinger 勒索软件攻击 AWS S3 用户的事件总结
主要观点
- 攻击方式:名为 Codefinger 的勒索软件利用被泄露的 AWS 凭证,通过 AWS 原生服务 S3 的服务器端加密功能(SSE-C)对数据进行加密,随后勒索受害者支付赎金以获取解密所需的 AES-256 密钥。
- 攻击特点:攻击者利用 SSE-C 的功能,将加密过程直接集成到 AWS 的安全加密基础设施中,与传统勒索软件相比,这种攻击方式更隐蔽且难以检测。
- AWS 的响应:AWS 发布了一系列建议,帮助用户降低 S3 遭受勒索软件攻击的风险,并澄清了如何防止 S3 对象的意外加密。
关键信息
攻击流程:
- 攻击者获取有效的 AWS 凭证,并利用这些凭证执行
s3:GetObject
和s3:PutObject
操作。 - 在加密过程中,攻击者使用
x-amz-server-side-encryption-customer-algorithm
头,并生成并存储本地的 AES-256 密钥。 - 攻击者设置 S3 生命周期规则,将文件标记为在七天内删除,以增加勒索的紧迫性。
- 攻击者获取有效的 AWS 凭证,并利用这些凭证执行
AWS 的建议:
- 短期凭证:建议使用短期凭证,减少凭证泄露的风险。
- 数据恢复程序:实施数据恢复程序,以便在遭受攻击时能够快速恢复数据。
- 限制 SSE-C 使用:如果应用不需要 SSE-C,建议通过资源策略或资源控制策略(RCP)阻止 SSE-C 的使用。
- 详细日志记录:启用 S3 操作的详细日志记录,以便检测异常活动,如批量加密或生命周期策略更改。
挑战与风险:
- 加密的隐蔽性:由于加密过程直接由 AWS 处理,攻击不易被察觉。
- 日志记录的不足:AWS CloudTrail 仅记录加密密钥的 HMAC,这对于恢复和取证分析是不够的。
重要细节
- 攻击的隐蔽性:Reddit 用户 Zenin 指出,这种攻击方式将加密的繁重工作卸载到 S3,减少了传统勒索软件攻击中常见的副作用,使得攻击更难以被发现。
- AWS 的声明:AWS 的 Steve de Vera 和 Jennifer Paz 强调,攻击者通过获取有效的客户凭证,利用 SSE-C 功能重新加密客户数据,并覆盖原有对象。
- 专家评论:The Duckbill Group 的首席云经济学家 Corey Quinn 评论称,这种攻击方式虽然邪恶,但极具创意。
应对措施
- 立即限制 SSE-C 使用:如果怀疑遭受勒索软件攻击,应立即限制 SSE-C 的使用。
- 审计 AWS 密钥:对所有 AWS 密钥进行审计,确保没有未授权的访问。
- 启用高级日志记录:启用 S3 操作的详细日志记录,以便检测异常活动。
- 联系 AWS 支持:及时联系 AWS 支持团队,获取进一步的帮助和指导。
总结
Codefinger 勒索软件通过利用 AWS S3 的 SSE-C 功能,对用户数据进行加密并勒索赎金。AWS 建议用户采取一系列措施来降低风险,包括使用短期凭证、限制 SSE-C 使用、启用详细日志记录等。攻击的隐蔽性和 AWS 日志记录的不足使得这种攻击方式更具挑战性,用户需要提高警惕并采取适当的防护措施。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。