資訊安全專家Kevin Beaumont近日在社交媒體上發出了預言式的警告:亞馬遜AWS S3雲存儲伺服器可能很快會成為勒索攻擊的受害者, 類似于2017年數萬個MongoDB資料庫被駭客組織劫持進行勒索。
許多安全專業人士對此表示贊同, 本文將對他們的看法做一個概述。
亞馬遜AWS S3大規模資料洩露
亞馬遜AWS S3存儲伺服器這幾年一直在洩漏資料, 其中包括美國國安局, 美國陸軍, 選民資料分析等非常敏感的機密。
詳細可以參考:
年終總結:扒一扒著名的亞馬遜雲2017年洩露了多少資料
在這些洩漏事件中, 最普遍的原因是管理人員將 Amazon AWS S3 “bucket”配置成“允許公開訪問”。 這意味著只要有連接到 S3 伺服器的連結, 任何人都可以訪問、查看、下載伺服器上的內容。
在大多數情況下, 這些資料洩露由安全研究人員發現, 但也意味著駭客同樣可以首先獲取這些檔。
Skyhigh Networks在2017年9月發佈的報告中表示, 7%的 Amazon S3 bucket 都可以公開寫入, 35%的 bucket 都未做加密, 這意味著整個 Amazon S3 伺服器中普遍存在這樣的問題。
亞馬遜AWS S3雲面臨MongoDB類似的困境
安全專家認為, 2017年以來一直忙於控制MongoDB、ElasticSearch、Hadoop、CouchDB、Cassandra和MySQL伺服器進行勒索贖金的駭客組織可能很快就會將目光轉向S3公開可寫入的存儲桶。
2017年勒索攻擊通常遵循相同的模式:駭客發現一台暴露的伺服器, 將其資料擦除, 並留下勒索贖金的資訊。 一些受害者付錢, 希望能恢復資料, 但大多數都是肉包子打狗, 有去無回, 因為駭客一般不會自備存儲空間來備份他們刪除的資料。
現在, 這樣的事情幾乎可以肯定會發生在Amazon S3伺服器所有者身上。
“MongoDB事件表明, 駭客即使沒有保存資料, “spray and pray”策略也能發揮作用(“spray and pray”:噴射和祈禱, 槍術用語, 原指漫無目的的掃射, 只能祈禱射中, 用於駭客攻擊中主要指廣撒網, 看有沒有魚上鉤)。 ”
安全研究員Dylan Katz認為, 駭客發起攻擊時亞馬遜S3資料將被直接抹去, 主要是因為S3桶上存儲的資料一般規模都很大, 攻擊者無法將其全部託管。
對AWS S3的勒索攻擊在技術上是可行的
如前所述, 問題主要在於AWS S3帳戶所有者對伺服器的錯誤配置, 允許外人對其進行讀寫訪問。
“S3就像C語言一樣, 有很多方法可以讓你“搬起石頭砸自己的腳”, ”安全研究員Mike Gualtieri表示。
Gualtieri甚至還創建了一個概念驗證腳本, 利用這些伺服器欺騙受害者相信他們的資料已被加密。
“我能夠編寫一個自動腳本,
“整體刪除檔看起來也是可能的。 ” Gualtieri說。
研究人員幾個月來一直在警告AWS S3客戶
像去年那樣大規模的MongoDB資料庫勒索案件已經給很多安全研究人員帶來了深刻教訓, 他們不希望再次出現。
在過去的幾個月裡, 安全專家Robbie Wiggins一直在掃描網路以查找可公開寫入的S3存儲桶, 並向伺服器所有者留下了一個警告文字檔。
“這是一個友好的警告, 您的Amazon AWS S3存儲桶設置是錯誤的, ”Wiggins在這些檔中寫道。
“任何人都可以對這個存儲桶進行寫入, 請在壞人找到它之前解決這個問題。 ”
BBC對Wiggins的工作也進行了報導, 至今他的自動掃描器已經向BBC擁有的50台AWS S3伺服器發出了警告。
但這只是很少的一部分,Wiggins發現了數千個存在這樣隱患的伺服器。根據早些時候發佈的推特,Wiggins已經向5,260個亞馬遜AWS S3存儲桶發出了警告。
不過值得慶倖的是,Robbie Wiggins並不是唯一一個這樣做的“志願者”,下圖就是一位匿名者留下的警告。
AWS S3雲的防範措施
目前被攻擊的亞馬遜AWS S3雲,與2017年成千上萬的MongoDB伺服器相比,這個數字還是很低的。
其原因是勒索這些存在隱患的AWS S3存儲桶非常容易,但找到它們卻不那麼簡單。
UpGuard公司網路風險研究主管Chris Vickery稱:“的確,AWS S3有步MongoDB後塵的可能,但它也存在緩解因素。”
“可寫入的S3存儲桶的數量(可以從中刪除檔)遠遠低於可讀取的S3存儲桶的數量(任何人可以從中下載)”,Vickery指出。
因此對於AWS S3雲存儲,駭客常用的刪除檔威脅就沒那麼好用。
不過最大的防範因素還是掃描操作。要搜索MongoDB,ElasticSearch或Hadoop伺服器,攻擊者只需掃描特定埠上的IPv4位址空間。
但S3存儲桶的位址使用冗長的名稱,並不是一個簡單的“IP:埠”組合。
“可能的S3存儲桶名稱的數量非常巨大,查詢[可能的存儲桶名稱]存在的速度比埠掃描慢的多。”
這種技術限制使得對S3桶的勒索攻擊更難,主要原因在於掃描速度較慢,儘管它們仍然可以使用字典式攻擊來編寫腳本。
AWS S3伺服器擁有大量敏感性資料
儘管如此,S3存儲桶已知包含大量敏感性資料,如果被下載了依然具有勒索價值。
GDI基金會安全研究員Victor Gevers表示:“這麼多敏感性資料從亞馬遜AWS S3雲中洩露出來令人驚訝。”
“在這些洩露事件中,我們已經發現了醫療資料、軍事資料、執法機構視頻、智慧財產權(原始程式碼和商業機密)、網站後臺資料、許多備份檔案檔、私人金鑰、比特幣錢包等等,這些檔顯然不是“公開的”。”
在Victor Gevers發佈的推特中,S3洩露出來的比特幣錢包檔的名稱非常明顯。
就像Wiggins一樣,Gevers也一直在掃描錯誤配置的伺服器,不過不是可公開寫入的伺服器,而是可公開讀取的伺服器,很多洩露資料都是從這些伺服器中出來的。
Gevers表示他已經發現並報告了529個AWS S3伺服器洩露資料,“其中只有109個在數天內被迅速修復”。
Victor Gevers的掃描結果
與去年對MongoDB資料庫的檔刪除勒索威脅不同,對AWS S3伺服器的攻擊更多的可能是針對可讀取(可公開下載)帳戶,特別是對於敏感性資料。
特別是還有個變化是今年5月25日開始生效的歐盟GDPR《一般資料保護條例》,它對個人資料的保護出臺了更嚴格的規定。
在該法規生效後,駭客都不用下載資料,只要對暴露的S3伺服器進行截圖,就可以向該公司勒索比特幣,否則它將面臨歐盟巨額罰款。
“GDPR將打開一個新的潘朵拉盒,使網路犯罪變得更簡單,這幾乎不需要任何技能。”
你要尋找目標的話,“Shodan搜索或S3存儲搜尋引擎將為你提供快速結果,你只需要知道要搜索的關鍵字,”Gevers說。這些搜索工具還包括Public Cloud Storage Search和BuckHacker。
亞馬遜同樣也在警告客戶
其實亞馬遜很清楚這樣的攻擊有很大的可能會發生。
該公司去年向所有擁有可公開訪問的S3存儲桶的客戶發送了電子郵件通知,並且最近還向AWS後端控制台添加了可見警告。
“在2017年6月/ 7月左右,暴露的S3桶的數量明顯減少,”Vickery稱。“我認為亞馬遜發出的電子郵件通知發生了作用,不知道他們最近推出的大橙色警示標誌是否也會有效。”
亞馬遜在本周還宣佈所有AWS用戶都可以免費訪問AWS Trusted Advisor S3 Bucket Permissions Check工具,它可以幫助使用者確保其AWS S3存儲桶正在運行適當的許可權;另一個備選工具是由Kromtech創建的Python腳本S3 Inspector。
無論哪種方式,保護亞馬遜AWS S3雲存儲的時間不多了,可公開寫入或讀取的S3伺服器所有者應該趕緊採取行動,在駭客動手之前。
更多有趣的科技文章,歡迎關注我們:
http://www.wttech.org/
但這只是很少的一部分,Wiggins發現了數千個存在這樣隱患的伺服器。根據早些時候發佈的推特,Wiggins已經向5,260個亞馬遜AWS S3存儲桶發出了警告。
不過值得慶倖的是,Robbie Wiggins並不是唯一一個這樣做的“志願者”,下圖就是一位匿名者留下的警告。
AWS S3雲的防範措施
目前被攻擊的亞馬遜AWS S3雲,與2017年成千上萬的MongoDB伺服器相比,這個數字還是很低的。
其原因是勒索這些存在隱患的AWS S3存儲桶非常容易,但找到它們卻不那麼簡單。
UpGuard公司網路風險研究主管Chris Vickery稱:“的確,AWS S3有步MongoDB後塵的可能,但它也存在緩解因素。”
“可寫入的S3存儲桶的數量(可以從中刪除檔)遠遠低於可讀取的S3存儲桶的數量(任何人可以從中下載)”,Vickery指出。
因此對於AWS S3雲存儲,駭客常用的刪除檔威脅就沒那麼好用。
不過最大的防範因素還是掃描操作。要搜索MongoDB,ElasticSearch或Hadoop伺服器,攻擊者只需掃描特定埠上的IPv4位址空間。
但S3存儲桶的位址使用冗長的名稱,並不是一個簡單的“IP:埠”組合。
“可能的S3存儲桶名稱的數量非常巨大,查詢[可能的存儲桶名稱]存在的速度比埠掃描慢的多。”
這種技術限制使得對S3桶的勒索攻擊更難,主要原因在於掃描速度較慢,儘管它們仍然可以使用字典式攻擊來編寫腳本。
AWS S3伺服器擁有大量敏感性資料
儘管如此,S3存儲桶已知包含大量敏感性資料,如果被下載了依然具有勒索價值。
GDI基金會安全研究員Victor Gevers表示:“這麼多敏感性資料從亞馬遜AWS S3雲中洩露出來令人驚訝。”
“在這些洩露事件中,我們已經發現了醫療資料、軍事資料、執法機構視頻、智慧財產權(原始程式碼和商業機密)、網站後臺資料、許多備份檔案檔、私人金鑰、比特幣錢包等等,這些檔顯然不是“公開的”。”
在Victor Gevers發佈的推特中,S3洩露出來的比特幣錢包檔的名稱非常明顯。
就像Wiggins一樣,Gevers也一直在掃描錯誤配置的伺服器,不過不是可公開寫入的伺服器,而是可公開讀取的伺服器,很多洩露資料都是從這些伺服器中出來的。
Gevers表示他已經發現並報告了529個AWS S3伺服器洩露資料,“其中只有109個在數天內被迅速修復”。
Victor Gevers的掃描結果
與去年對MongoDB資料庫的檔刪除勒索威脅不同,對AWS S3伺服器的攻擊更多的可能是針對可讀取(可公開下載)帳戶,特別是對於敏感性資料。
特別是還有個變化是今年5月25日開始生效的歐盟GDPR《一般資料保護條例》,它對個人資料的保護出臺了更嚴格的規定。
在該法規生效後,駭客都不用下載資料,只要對暴露的S3伺服器進行截圖,就可以向該公司勒索比特幣,否則它將面臨歐盟巨額罰款。
“GDPR將打開一個新的潘朵拉盒,使網路犯罪變得更簡單,這幾乎不需要任何技能。”
你要尋找目標的話,“Shodan搜索或S3存儲搜尋引擎將為你提供快速結果,你只需要知道要搜索的關鍵字,”Gevers說。這些搜索工具還包括Public Cloud Storage Search和BuckHacker。
亞馬遜同樣也在警告客戶
其實亞馬遜很清楚這樣的攻擊有很大的可能會發生。
該公司去年向所有擁有可公開訪問的S3存儲桶的客戶發送了電子郵件通知,並且最近還向AWS後端控制台添加了可見警告。
“在2017年6月/ 7月左右,暴露的S3桶的數量明顯減少,”Vickery稱。“我認為亞馬遜發出的電子郵件通知發生了作用,不知道他們最近推出的大橙色警示標誌是否也會有效。”
亞馬遜在本周還宣佈所有AWS用戶都可以免費訪問AWS Trusted Advisor S3 Bucket Permissions Check工具,它可以幫助使用者確保其AWS S3存儲桶正在運行適當的許可權;另一個備選工具是由Kromtech創建的Python腳本S3 Inspector。
無論哪種方式,保護亞馬遜AWS S3雲存儲的時間不多了,可公開寫入或讀取的S3伺服器所有者應該趕緊採取行動,在駭客動手之前。
更多有趣的科技文章,歡迎關注我們:
http://www.wttech.org/