关键要点

• 勒索软件正从传统系统转向云环境，重新定义其对云原生数据的影响
• 由于客户在存储桶设置和访问控制方面可能存在错误配置，Amazon Simple Storage Service (S3) 等云存储服务仍是攻击者的诱人目标
• 本文探讨了五种S3勒索软件变种，结合了已观察到的攻击技术和潜在的未来攻击向量
• Trend Vision One™ 检测提供对AWS CloudTrail事件的可见性，以检测和响应活跃的勒索软件活动

旧威胁，新领域：勒索软件向云端的迁移

勒索软件长期以来一直是一个持续存在的威胁，传统上通过诸如网络入侵、网络钓鱼邮件、恶意附件以及利用过时或易受攻击的软件等策略来攻击本地环境。

然而，随着组织向云端迁移，勒索软件策略也在适应：在云环境中，攻击者越来越多地利用客户错误配置的存储资源和被盗凭证。与严重依赖加密恶意软件的传统勒索软件不同，专注于云的变种通常利用原生云功能来删除或覆盖数据、暂停访问或提取敏感内容——所有这些都在传统安全工具的视线之外进行。

在此博客文章中，Trend™ Research研究了勒索软件行为者如何越来越多地瞄准云原生资产，是什么使这些资源对攻击者具有吸引力，并详细介绍了可能通过发现提供调用各种S3 API权限的访问密钥来影响AWS环境的不同类型的勒索软件攻击。

潜在的云勒索软件目标

勒索软件行为者日益关注那些持有或能够快速恢复关键业务数据和基础设施的云原生资产。由于以下Amazon Web Services (AWS) 资源具有高价值且可能中断运营，它们成为主要目标：

计算快照 计算快照——虚拟机磁盘或卷的时间点副本——如Amazon Elastic Block Store (EBS) 快照可能成为目标，因为组织依赖它们在EC2实例出现故障或受损后快速恢复。没有快照，从头开始重建系统可能需要数天时间。托管在EC2上的关键任务应用程序可能保持离线状态，导致长时间中断和潜在的数据丢失，除非支付赎金。

如果攻击者获得快照管理权限，他们可以加密原始EC2卷并删除快照，不留恢复选项。攻击者还可以在将其复制到自己的环境后删除EC2实例和快照，确保计算环境无法恢复。

云静态存储 云静态存储如Amazon Simple Storage Service (S3) 存储桶也是潜在目标，因为S3通常用于存储备份文件、日志和分析数据、静态网站内容、应用程序资产或基础设施配置（如Terraform状态文件）。

如果访问配置错误或凭证泄露，攻击者可以加密现有数据并上传勒索记录，删除原始数据或用损坏的文件覆盖它。这将影响依赖该数据的业务运营和服务。如果S3存储桶包含备份或历史日志，受害者将失去操作性和取证恢复选项。

云数据库 另一个潜在目标是云数据库，如Amazon RDS（PostgreSQL、MySQL等）、Aurora和DynamoDB。云数据库通常包含最敏感和最有价值的数据，如客户信息、交易、凭证和遥测数据。如果攻击者破坏访问权限，他们可以窃取、加密或删除数据库记录。他们还可以删除自动备份和快照以阻止恢复。

此类攻击会影响应用程序的功能，危害用户数据，并带来监管后果（如GDPR违规）。没有正常运行的备份，恢复几乎是不可能的，增加了受害者支付赎金的压力。

容器镜像和注册表 诸如Amazon Elastic Container Registry (ECR) 之类的容器镜像和注册表也可能成为目标，因为容器化工作负载（包括微服务和应用程序）依赖于存储在ECR中的容器镜像。针对ECR的攻击者可以删除镜像，停止应用程序部署管道，或用恶意或损坏的版本替换镜像。受损的容器镜像和注册表可能导致CI/CD管道故障、重新部署时应用程序崩溃，以及应用自动扩展或容器替换策略困难。即使代码是安全的，没有镜像也无法重新部署，可能使生产环境瘫痪。

云备份和灾难恢复系统 备份是任何勒索软件场景中的最后安全网，因此存储在S3、Glacier中的备份或通过AWS Backup管理的备份可能成为有吸引力的目标。聪明的攻击者知道消除备份可以确保杠杆作用。如果他们获得对备份保管库或存储备份文件的存储桶的访问权限，他们可以永久删除备份，加密或损坏备份文件，并修改保留设置以使备份过早过期。即使主要系统得以恢复，没有干净的备份，企业也无法保证数据完整性。在许多现实案例中，没有备份的公司只能将支付赎金作为唯一的恢复途径。

在AWS的所有目标中，Amazon S3脱颖而出，成为使用最广泛且对业务至关重要的服务。它作为存储从应用程序数据和媒体文件到备份和基础设施资产的一切内容的支柱。鉴于其在数据存储中的核心作用，S3也是勒索软件行为者的高价值目标。在接下来的部分中，我们将探讨为什么S3对攻击者如此有吸引力，以及勒索软件活动如何危害S3数据以索取赎金。

Amazon S3中的服务器端加密

Amazon S3提供多种选项用于加密静态数据：

• SSE-S3：AWS代表您处理所有加密密钥管理。
• SSE-KMS：使用AWS Key Management Service (KMS) 管理加密密钥，通过可自定义的密钥策略和访问权限提供增强的控制。
• SSE-C：客户提供自己的加密密钥，授予他们对密钥管理的完全控制。这种方法通常是为了满足严格的合规性或安全性要求而选择的，但会带来额外的复杂性，例如需要安全地存储和管理密钥。值得注意的是，AWS不保留SSE-C密钥；相反，它会记录密钥的HMAC（基于哈希的消息认证码）以验证访问请求。

S3勒索软件蓝图：理解攻击者的心态

目标选择 – 寻找理想的S3存储桶 在执行攻击之前，对手根据以下标准评估潜在的S3存储桶：

• 未启用版本控制 - 没有版本控制，就无法恢复被覆盖文件的先前版本，使得加密不可逆转。
• 未启用对象锁定 - 没有对象锁定设置的存储桶允许自由覆盖或删除数据，这对于成功的勒索软件执行至关重要。
• 未启用MFA删除 - 如果禁用MFA删除，攻击者可以在不需要多因素认证的情况下永久删除对象或存储桶版本历史记录——简化清理或进一步破坏。
• 不正确的写入权限 - 攻击者需要s3:PutObject或s3:PutObjectAcl访问权限来重新上传或覆盖文件，并且如果使用SSE-KMS，通常还需要kms:Encrypt权限。这些权限可能通过以下方式暴露：
  • 过于宽泛的客户定义的IAM策略（对资源或操作使用*）
  • 配置错误的跨账户角色
  • 泄露或被盗的凭证
• 包含高价值数据 - 存储关键资产（包括备份、配置文件、数据库转储或专有代码）的存储桶是主要目标。线索可以来自文件名（backup.sql、prod.env）或存储桶名称（company-archive、db-backup）。

攻击者的目标 – 实现完全且不可逆的锁定 一旦识别出合适的S3目标并且可以访问，攻击者的目标是使数据不可读且不可恢复。他们可能通过各种方式实现这一点，例如：

• 制造或使用目标用户无法访问的加密密钥。攻击者使用目标AWS用户在技术上无法访问的加密密钥来加密S3对象。这阻止了受害者（包括根用户）解密任何S3文件。
• 制造或使用AWS也无法访问的加密密钥。攻击者使用AWS在技术上也无法访问的加密密钥。这样，即使有AWS支持，受害者也无法解密数据，因为密钥不再存在于任何AWS管理的范围或SLA内。
• 触发赎金要求。在受害者被锁定后，攻击者可能要求付款，以换取重新启用或共享解密密钥，或使数据再次对目标用户可访问，通常以勒索记录的形式。

S3勒索软件：过去的漏洞利用与未来的攻击手册

变种1（使用默认AWS KMS密钥 – SSE-KMS） 2019年发布了一个公开的概念验证（PoC），描述了如何在AWS环境中使用默认AWS KMS密钥选项模拟S3勒索软件攻击。过程（图1）如下：

1. 攻击者获得对受害者S3存储桶的写入级别访问权限（例如，通过从GitHub上的公共源代码泄露的IAM角色凭证，或通过破坏AWS账户）。
2. 他们在自己的AWS账户中使用KMS创建一个客户管理的对称客户主密钥（CMK），配置为全局可读（图2和图3）。
3. S3访问允许攻击者枚举并定位易受攻击的存储桶（图4）。
4. 然后，他们继续使用KMS密钥加密易受攻击存储桶中的对象（图5）。AWS KMS要求至少提前七天通知安排密钥删除。
5. 攻击者安排删除攻击中使用的KMS密钥，给受害者七天的最后期限，之后密钥（以及对数据的访问权限）将永久丢失。
6. 加密完成后，上传一个名为ransom-note.txt的文件，并安排KMS密钥在七天后删除。一旦CMK被删除，加密的数据将永久无法访问。

这种变种最有可能作为跨账户攻击发生，因为在受害者的AWS账户内执行可能会授予受害者的特权用户访问密钥的权限。

这种变种在现实世界中不太可能发生，因为删除密钥至少需要七天时间，并且AWS支持很可能在那之前介入并恢复密钥。

变种2（使用客户提供密钥的服务器端加密 – SSE-C） 今年早些时候，安全研究人员发布了一篇博客文章，详细描述了一个名为Codefinger的威胁行为者如何利用SSE-C对S3存储桶进行勒索软件活动。过程（如下面的图6所示）如下：

1. 攻击者获得对受害者S3存储桶的写入级别访问权限（例如，通过从GitHub上的公共源代码泄露的IAM角色凭证，或通过破坏AWS账户）。
2. 攻击者枚举S3存储桶以找到理想目标。
3. 攻击者通过REST API、HTTP请求或AWS SDK，使用x-amz-server-side-encryption-customer-algorithm头（注意：使用SDK或CLI工具时用户不直接设置头）提供本地存储的AES-256密钥来启动服务器端加密。
4. AWS使用该密钥进行加密但不存储它；只有密钥的基于哈希的消息认证码（HMAC）记录在CloudTrail中，该HMAC不能用于恢复原始密钥或解密数据。
5. 加密完成后，勒索记录被存入存储桶。

这种变种比其他变种更可能发生，因为在使用SSE-C时攻击者控制着加密密钥，使得客户和AWS都无法恢复加密的数据。

客户可以通过在其存储桶策略中添加以下策略来防止这种情况：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenySSECEncryptionForNewWrites",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::your_bucket_arn_here/*",
            "Condition": {
                "Null": {
                    "s3:x-amz-server-side-encryption-customer-algorithm": "false"
                }
            }
        }
    ]
}

变种3（S3数据窃取和删除） 去年有报道称，威胁行为者Bling Libra使用被盗的AWS凭证访问并删除了S3存储桶中的数据，然后通过威胁销毁或泄露数据来勒索受害者。过程如下（图7）：

1. 攻击者获得对受害者S3存储桶的写入级别访问权限，要么通过泄露的IAM角色凭证，要么通过破坏AWS账户。
2. 攻击者枚举S3存储桶以找到理想目标。
3. 攻击者将S3存储桶中的所有数据窃取到他们自己的环境中，作为勒索的筹码。
4. 攻击者从S3存储桶中删除所有对象数据，或完全删除存储桶。
5. 攻击者在原始存储桶（如果仍然存在）中留下勒索记录，或者创建具有勒索相关名称的新存储桶，如在Bling Libra案例中所见。

这种变种也更可能发生，因为它是一个简单的两步过程：窃取和删除，并且使得客户或AWS支持无法恢复数据。

变种4（使用AWS KMS外部密钥材料） 在Codefinger利用SSE-C进行S3勒索软件攻击之后，安全社区对SSE-C相关的风险认识日益提高，许多组织随后限制或阻止了其使用。然而，攻击者可以利用其他潜在的向量来实现类似的结果，这些向量可能不那么广为人知。

其中一个不太为人知的攻击变种是使用KMS外部密钥材料。用户可以在AWS中使用自己的密钥材料创建KMS密钥，这个过程称为自带密钥（BYOK）。用户不是让AWS生成密钥材料，而是可以自己导入它，这将允许他们控制密钥的来源、持久性和生命周期，而AWS KMS管理其在AWS服务中的使用。

在导入的外部密钥材料中，过期时间可以设置为任何持续时间，这使其成为勒索软件场景中对攻击者有吸引力的特性，他们可以故意设置较短的过期时间，使密钥（和加密数据）对客户和AWS都无法访问。

过程（如图8所示）如下：

1. 攻击者获得对受害者S3存储桶的写入级别访问权限，要么通过泄露的IAM角色凭证，要么通过破坏AWS账户。
2. 攻击者枚举S3存储桶以找到理想目标。
3. 攻击者尝试SSE-C加密，但因被阻止而失败，于是他们尝试在KMS中使用外部密钥材料的另一个选项。
4. 他们在自己的AWS账户中使用KMS选项“External (Import Key Material)”创建一个客户管理的对称CMK，该密钥配置为全局可读（图9和图10）。
5. 他们选择包装密钥和算法，如图11所示。
6. 他们在本地机器上下载包装公钥并导入令牌，然后用包装公钥包装他们自己新创建的密钥。
7. 现在，攻击者上传最终密钥并导入令牌（图12）。他们还将过期时间设置为24小时或更短，因为攻击者倾向于将过期窗口设置得尽可能小，以销毁密钥并使其不被AWS触及。
8. 新创建的KMS密钥的Amazon Resource Name (ARN) 被攻击者用来加密目标AWS账户的S3存储桶，并最终删除它，使其不被AWS和客户触及。

客户可以应用以下策略语句到其身份策略，以拒绝使用AWS KMS导入密钥材料和AWS KMS外部密钥存储功能：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15

{
    "Sid": "DenyKmsOperationsViaS3OnExternalKeys",
    "Effect": "Deny",
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:KeyOrigin": ["EXTERNAL", "EXTERNAL_KEY_STORE"],
            "kms:ViaService": "s3.<region>.amazonaws.com"
        }
    }
}

这种变种也可能从受害者的AWS账户中执行。这意味着如果攻击者拥有足够的访问权限，他们可以在受害者的环境中创建KMS并导入自己的密钥材料。这种变种在现实世界中尚未发生，但它是S3勒索软件攻击的潜在向量，因为密钥对客户或AWS都不可访问。

变种5（使用外部密钥存储 - XKS） KMS外部密钥存储（XKS）是一项AWS KMS功能，它允许客户使用完全存储在AWS外部的加密密钥，例如在本地硬件安全模块（HSM）或第三方密钥管理系统中，同时仍通过AWS KMS执行加密操作。与传统的导入密钥材料（AWS持有副本）不同，XKS中的密钥永远不会离开您的环境，也永远不会对AWS可见。为了实现这一点，AWS KMS通过XKS代理与客户的外部密钥管理系统通信，这是一个客户必须部署和管理的组件。XKS代理充当AWS KMS与您的外部密钥基础设施之间的桥梁，安全地将加密请求从AWS转发到您的密钥存储并返回结果。

2024年，发布了一个与利用AWS KMS和XKS在勒索软件攻击期间潜在绕过加密和访问敏感数据相关的PoC。然而，这种攻击变种依赖于发现泄露的IAM角色凭证或破坏AWS账户。要执行带有Amazon S3的AWS XKS加密，攻击者将遵循以下步骤（图13）：

1. 克隆AWS XKS代理参考实现。AWS在GitHub上提供了XKS代理的示例实现。此代理充当AWS KMS与外部密钥管理器之间的中介。
2. 更改配置文件：aws-kms-xks-proxy/xks-axum/configuration/settings_docker.toml。URI前缀、访问密钥（以AKIA开头）、秘密密钥、xks_key_id可以是任何值，只需记下 somewhere。
3. 在攻击者环境中构建并运行XKS代理。存储库包含一个Dockerfile来构建代理。他们验证代理正在运行。
4. AWS会要求客户提供其密钥存储的HTTPS链接。然而，创建域名对攻击者来说成本高昂且有暴露风险，因此他们转而使用ngrok将本地主机隧道传输到一个临时的HTTPS公共站点。然后，他们使用其Google账户登录ngrok，并将ngrok认证令牌复制到他们的Linux机器（图14）。
5. 他们使用运行docker的本地主机端口连接到ngrok。
6. 复制之后生成的域名并保存，因为这将是XKS代理链接。
7. 攻击者进入其AWS账户并创建一个密钥存储：KMS CMK > Symmetric > Encrypt & Decrypt > Adv option > External Key Store。
8. 连接到密钥存储后，攻击者输入他们记下的所有详细信息，例如由ngrok创建的URI域名端点，以及配置文件中的其他信息，如URI路径（图15）。
9. 他们填写所有规定的字段，包括外部密钥ID。（这是’foo’，除非他们在前面的步骤中更改了它。）
10. 他们像之前的变种一样更改密钥策略，使其全局可读，或编辑它以添加一个主体AWS账户，即具有目标S3的目标账户。
11. 他们复制创建的密钥ARN，并使用它来加密目标AWS账户的S3存储桶。

客户可以通过创建以下策略来防止这种情况，以防范场景4和5：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15

{
    "Sid": "DenyKmsOperationsViaS3OnExternalKeys",
    "Effect": "Deny",
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:KeyOrigin": ["EXTERNAL", "EXTERNAL_KEY_STORE"],
            "kms:ViaService": "s3.<region>.amazonaws.com"
        }
    }
}

这种变种也可能从受害者的AWS账户中执行。这意味着如果攻击者拥有足够的访问权限，他们可以在受害者的环境中创建XKS代理本身。这种变种在现实世界中也尚未发生，但它是S3勒索软件攻击的潜在向量，因为密钥对客户和AWS都不可访问。

使用Trend Vision One™进行主动安全

Trend Vision One™是唯一一个由AI驱动的企业网络安全平台，它集中了网络风险暴露管理和安全运营，跨本地、混合和多云环境提供强大的分层保护。

基于CloudTrail的S3勒索软件活动工作台 检测S3勒索软件需要深入了解AWS CloudTrail事件，其中记录了每一次访问、修改和加密操作。

Trend Vision One利用这些日志来识别这些行为，识别可疑的加密模式，并呈现高保真度的工作台检测，这些检测映射到不同的勒索软件变种。

以下是跨多个勒索软件阶段（从侦察和权限提升到加密和勒索记录放置）观察到的分类检测。

特定变种的工作台检测 以下工作台检测突出了归因于本文描述的不同勒索软件变种的特定攻击模式，使组织能够针对不同的攻击方法快速采取行动：

• AWS Possible S3 Ransomware Activity Detected (Variants 1, 4, 5)：检测到S3存储桶上可能的勒索软件活动，这可能导致重要数据加密、丢失或损坏、运营中断、财务损失等。
• AWS S3 Object Upload Using Custom Encryption (Variant 2)：此检测识别使用非标准加密设置上传到S3的对象。自定义加密方法可能表示注重安全的操作，或试图绕过默认的AWS加密机制。如果未经授权，这可能导致数据混淆，使监控和访问控制更具挑战性。
• AWS S3 Data Encrypted with Imported Key and Key Material Deleted (Variant 4)：检测到使用导入的KMS密钥加密S3数据，随后删除密钥材料，这可能导致永久性数据丢失，并可能表明存在可能的S3勒索软件活动。
• AWS S3 Potential Ransomware Activity via Bulk Download and Deletion (Variant 3)：识别涉及批量下载和随后删除S3对象的潜在勒索软件行为，表明可能存在数据窃取和破坏。

通用工作台检测（攻击前和攻击后阶段） 虽然上述检测与特定的勒索软件变种相关联，但有几个通用检测有助于识别通常伴随勒索软件活动的前兆和后续活动：

• AWS S3 Successful Resource Enumeration Attempt
• AWS S3 Unsuccessful Resource Enumeration Attempt
• AWS S3 Bucket Potential Ransomware Note Uploaded
• AWS S3 Bucket Discovery and Access Validation
• AWS S3 Bucket Encryption Configuration Modified
• AWS S3 Bucket Policy Successfully Applied
• AWS S3 Bucket Public Access Granted
• AWS S3 Bucket Deletion
• AWS S3 Server Access Logging Disabled For A Bucket
• AWS S3 Suspicious Public Access Block Removal
• AWS S3 Possible Credential Files Download

可能导致S3勒索软件攻击的重要IAM工作台检测 在勒索软件活动开始之前，对手通常执行身份和访问相关的操作，以获取或扩大对AWS资源的控制。以下检测突出了可疑的IAM操作，如果被恶意行为者利用，可能导致或促成S3勒索软件攻击：

• AWS IAM Policy Attached To User Or Role Or Group
• AWS IAM Administrator Access Policy Attached To A Role
• AWS IAM Administrator Access Policy Attached To A User
• AWS IAM Administrator Access Policy Attached To A Group
• AWS IAM Create/Update Full Administrative Privileged Inline Policy For a Group
• AWS IAM Create/Update Full Administrative Privileged Inline Policy For a User
• AWS IAM Create/Update Full Administrative Privileged Inline Policy For a Role
• AWS IAM Login MFA Deactivated For A User
• AWS IAM Role Over Privileged Trust Policy Created
• AWS IAM Create New Access Key for User

Trend Vision One Cloud Risk Management 态势检查 S3 勒索软件活动 Trend Vision One Cloud Risk Management 包括超过28个专用的S3安全规则（S3-001至S3-028），这些规则有助于检测攻击者在勒索软件攻击中利用的错误配置。与S3勒索软件预防直接相关的关键规则包括：

• S3-013：确保启用MFA删除以防止未经授权的删除
• S3-023：验证对象锁定配置以防止覆盖
• S3-025：检测客户提供的加密密钥（SSE-C）的使用，这是一个已知的勒索软件向量
• S3-026：确保启用S3阻止公共访问
• S3-015：检测可疑的跨账户访问模式

这些规则支持实时态势监控，在配置更改时提供即时警报。有关完整的规则目录和详细的修复指南，请参阅您的Trend Vision One控制台中的Cloud Risk Management Knowledge Base。

防御S3免受勒索软件攻击的主动策略

随着勒索软件迅速发展以利用云环境的复杂性，防御基于云的资源需要主动和自适应的安全策略。组织必须超越传统的边界防御，采用针对云基础设施量身定制的分层控制，以应对此类威胁。为了有效保护云资产免受现代勒索软件活动的侵害，防御者可以应用以下安全最佳实践：

• 强制执行最小权限访问。将s3:PutObject、s3:DeleteObject和KMS操作限制为特定角色。使用IAM条件、多因素认证（MFA）和职责分离来阻止未经授权的活动。
• 强化KMS治理。限制跨账户KMS授权，禁用未使用的导入密钥材料或XKS连接，并将密钥管理员与数据所有者分开。
• 启用对象不可变性。打开S3对象锁定和版本控制，以防止覆盖或加密现有数据，并确保快速恢复。
• 对关键存储桶强制执行MFA删除。启用MFA删除，要求在删除对象版本或更改版本控制之前进行第二重认证，这是防止勒索软件触发擦除的强大最终保障。
• 阻止公共和不受信任的访问。在账户和存储桶级别强制执行S3阻止公共访问。仅通过VPC端点或私有访问点路由访问。
• 避免弱加密实践。限制或禁用SSE-C使用；最好使用带有受监控的客户管理密钥的SSE-KMS。定期审查任何外部或导入的密钥材料。
• 通过统一监控及早检测异常活动。持续监控CloudTrail、S3数据事件和KMS日志中的异常加密、跨账户活动或批量写入/删除模式。
• 隔离和保护备份。维护到单独AWS账户的跨账户复制，该账户具有自己的CMK和删除保护，以确保干净的恢复选项。
• 定期验证恢复。定期测试从版本化对象或副本恢复，并审核IAM/KMS策略以查找权限蔓延或错误配置。
• 自动化响应操作。配置自动警报和响应手册，以快速撤销被盗凭证、禁用可疑KMS密钥并隔离受影响的资源。