网络犯罪分子正在侵入组织的云存储容器,窃取其敏感数据,并且在一些情况下,受害组织还会向他们支付费用,以确保他们不泄露或出售被盗数据。
研究人员表示:“此次活动背后的攻击者可能利用了广泛的自动化技术来成功且快速地开展行动。”
公开的环境文件是托管云环境的关键
攻击者通过扫描并利用受害组织 Web 应用程序中的暴露环境文件 ( .env ) 获得了对云存储容器的访问权限。(可公开访问的.env文件是服务器配置错误的结果。)
这些文件通常包含机密信息,例如硬编码的云提供商 [身份和访问管理 (IAM)] 密钥、软件即服务 (SaaS) API 密钥和数据库登录信息,然后威胁行为者会使用这些信息进行初始访问。
扫描互联网上的域名并利用从暴露的环境变量文件中获得的凭据的攻击模式遵循一种更大的模式,我们认为这种模式会通过其他受损的 AWS 环境传播。
进入后,攻击者会探索受害组织的云环境以:
☛ 验证分配给其使用的 IAM 凭证的用户或角色的身份;
☛ 创建 AWS 账户上的其他 IAM 用户列表以及现有 S3 存储桶列表;
☛ 定位正在使用的服务,例如简单存储服务、安全令牌服务、简单电子邮件服务。
然后,他们使用原始 IAM 角色创建新角色,这些角色将在受损的 AWS 账户内拥有管理权限(即无限制访问)。
这使得他们可以(尝试)创建用于加密挖掘的 Amazon Elastic Cloud Compute (EC2) 资源,并创建 AWS Lambda 函数来对各个域中公开的环境变量文件执行自动互联网范围扫描。
成功检索域的公开环境文件后,lambda 函数发现并识别了文件中包含的明文凭证。一旦 lambda 函数识别出凭证,它就会将其存储在另一个威胁行为者控制的公共 S3 存储桶内新创建的文件夹中。
恶意 lambda 函数专门针对.env文件引用字符串mailgun 的实例。利用这些被盗的 Mailgun 凭证,威胁行为者可以从合法域向组织发送大规模网络钓鱼攻击,从而使他们的攻击更有可能绕过安全保护。
赎金纸条
最后,他们利用 S3 Browser 工具从受害者的 S3 bucket 中窃取数据和对象,并上传勒索信。有时,他们还会向受害公司的利益相关者发送相同的勒索信。
您的组织最终会成为受害者吗?
有趣的是,攻击者用来存储和查看被盗的.env文件的 S3 存储桶也被公开暴露,因此研究人员设法了解到这些文件包含哪些类型的凭据。
我们发现了超过 90,000 个包含访问密钥或 IAM 凭证的泄露环境变量的独特组合,其中 7,000 个访问密钥直接与各种云服务 [AWS、PayPal、GitHub、Slack 等] 相关联。
最令人担忧的是,泄露的 1,515 个变量与社交媒体平台相关;其中一些包括帐户名称和身份验证密钥。
暴露的环境变量只是让攻击者得逞的因素之一。另一个因素是与 IAM 资源相关的权限范围太广。
研究人员概述了组织可以采取的几种措施,以防止其数据以这种方式被勒索:
☛ 正确配置服务器,以防止环境和其他文件的暴露;
☛ 使用 IAM 角色而不是 IAM 密钥,因为前者是临时的;
☛ 配置权限时使用最小特权原则;
☛ 禁用 AWS 帐户中所有未使用的区域(这样攻击者就没有太多“隐藏空间”了);
☛ 启用日志记录和监控以获取异常活动警报。