一个名为 Codefinger 的新型勒索软件团伙以 AWS S3 存储桶为目标,利用 AWS 自身的服务器端加密与客户提供密钥 (SSE-C) 功能来加密受害者数据,随后索要赎金以换取解密所需的 AES-256 对称密钥。
Halcyon 威胁猎手团队表示他们首次发现该犯罪团伙是在 12 月,近几周观察到两起针对其客户的此类勒索软件攻击,这些客户都是 AWS 原生软件开发商。
Codefinger 利用公开暴露或被盗的具有读写权限的 AWS 密钥入侵受害组织的云存储桶,执行"s3:GetObject"和"s3:PutObject"请求。
Halcyon RISE 团队副总裁 Tim West 告诉 The Register,虽然其他安全研究人员此前已记录了加密 S3 存储桶的技术,"但这是我们所知的首个在野利用 AWS 原生安全加密基础设施 SSE-C 的案例。"
他警告说:"历史上泄露的 AWS Identity IAM 密钥主要被用于数据盗窃,但如果这种方式被广泛采用,可能会对依赖 AWS S3 存储关键数据的组织造成重大系统性风险。"
攻击者滥用被盗密钥后,调用"x-amz-server-side-encryption-customer-algorithm"请求头,使用本地生成的 AES-256 加密密钥来锁定受害者文件。
由于 AWS 在加密过程中处理密钥但不存储它,如果没有攻击者生成的密钥,受害者就无法解密其数据。
此外,除了加密数据外,Codefinder 还使用 S3 对象生命周期管理 API 将受感染文件标记为 7 天内删除 - 据了解,犯罪分子本身并不威胁泄露或出售数据。
West 表示:"这很独特,因为大多数勒索软件运营商和附属攻击者通常不会直接销毁数据作为双重勒索或向受害者施压支付赎金的手段。数据销毁对目标组织来说是一个额外的风险。"
Codefinger 还在每个受影响目录中留下勒索信,包含攻击者的比特币地址和与加密数据关联的客户 ID。Halcyon 研究人员在一份与 The Register 共享的 S3 存储桶攻击报告中指出:"该信息警告说,更改账户权限或文件将终止谈判。"
虽然 West 拒绝透露两个 Codefinger 受害者的名称或更多细节(包括他们是否支付了赎金),但他建议 AWS 客户限制使用 SSE-C。
他解释说:"可以通过在 IAM 策略中利用 Condition 元素来实现这一点,防止在 S3 存储桶上未经授权使用 SSE-C,确保只有经批准的数据和用户才能使用此功能。"
此外,监控和定期审计 AWS 密钥很重要,因为这些密钥对于所有试图入侵公司云环境和窃取数据的犯罪分子来说都是非常有吸引力的目标。
West 说:"应经常审查权限以确认其符合最小权限原则,同时应禁用未使用的密钥,并定期轮换活动密钥以最大限度地减少风险。"
AWS 回应
当被问及这些勒索软件感染事件时,AWS 发言人告诉 The Register,只要云巨头发现密钥泄露,就会通知受影响的客户,并"迅速采取必要行动,例如应用隔离策略,以在不中断客户 IT 环境的情况下将风险降至最低。"
该发言人还指导用户参考这篇关于发现未授权活动时该怎么做的文章,并鼓励客户遵循与安全、身份和合规相关的最佳实践 - 特别是与云安全共同责任模型相关的实践。
发言人告诉我们:"AWS 提供了丰富的功能,消除了在源代码或配置文件中存储凭据的需求。IAM 角色使应用程序能够使用自动部署、频繁轮换且无需客户管理的短期凭据,从 EC2 实例、ECS 或 EKS 容器或 Lambda 函数安全地发出签名 API 请求。"
这些功能还包括允许 AWS 外部的计算节点使用 Roles Anywhere 功能进行无长期 AWS 凭据的身份验证调用。此外,使用 AWS Identity Center 的开发者工作站可以获得受多因素身份验证令牌保护的短期凭据。
发言人说:"所有这些技术都依赖于 AWS Security Token Service (AWS STS) 发布临时安全凭据,这些凭据可以控制对其 AWS 资源的访问,而无需在应用程序中分发或嵌入长期 AWS 安全凭据,无论是在代码还是配置文件中。"
好文章,需要你的鼓励
Zoom发布全新智能代理AI功能,旨在帮助用户在工作中节省时间。新的自定义AI助手插件可连接16多个第三方应用,无需离开Zoom界面。该AI助手现已支持在线购买并可集成到微软Teams和谷歌Meet等第三方会议平台。智能代理AI能够独立运行,自动执行任务、收集数据并达成目标。新功能包括日程管理、会议录制剪辑生成、文档创作辅助等,月费12美元。
加州大学伯克利分校研究团队开发出革命性的R2R2R系统,仅需智能手机拍摄和一段演示视频,就能自动生成大量机器人训练数据。该系统绕过了传统昂贵的远程操作和复杂物理仿真,通过3D重建和智能轨迹生成技术,让机器人训练效率提升27倍,成本大幅降低,有望让高质量机器人技能变得像安装手机应用一样普及。
YouTube准备更新政策,打击创作者从"非真实"内容中获利的能力,包括批量生产视频和其他重复性内容。7月15日,公司将更新YouTube合作伙伴计划货币化政策,提供更详细的指导原则。随着AI技术的兴起,YouTube充斥着AI生成的低质量内容,包括AI语音配音、虚假新闻视频等。尽管YouTube将此称为"小幅更新",但实际上是为了应对AI内容泛滥对平台声誉和价值的潜在损害。
腾讯优图实验室提出AnoGen方法,仅用3张异常图片就能训练出高精度工业检测AI。该方法通过扩散模型学习异常特征并生成大量逼真样本,在MVTec数据集上将检测精度提升5.8%,为解决工业异常检测中样本稀缺问题提供了突破性方案。