雲端服務勒索攻擊是雲端安全領域中長期熱門的討論議題,成為網路安全領域最具威脅性的攻擊手段之一。由於雲端服務的攻擊面極小,因此雲端服務本質上比基於端點和Web伺服器的服務具有相對的優勢。除了在雲端中運行虛擬作業系統的運算服務之外,雲端服務並未提供完整的作業系統,這意味著 Windows和Linux上流行的勒索軟體二進位檔案無法對它們進行有效攻擊。雲端服務基礎設施巨大的攻擊面以及儲存的巨量敏感性資料,為網路犯罪組織提供了前所未有的「豐厚回報」,使其成為勒索軟體犯罪集圑追逐的高利潤目標。SentineOne研究圑隊長期監控發現了幾種旨在利用勒索軟體攻擊網路伺服器或利用雲端服務上傳檔案然後在端點上加密本機端檔案的攻擊工具。
雲端運算服務勒索攻擊機制
雲端勒索攻擊通常針對基於雲端的儲存服務,例如 Amazon’s Simple Storage Service (S3) 或Azure Blob Storage。雖然每個實施方案各不相同,但勒索攻擊需要攻擊者找到可存取的儲存服務,將檔案內容複製到攻擊者控制的目的地,然後從受害者的執行個體中加密或刪除檔案。
雲端服務供應商 (Cloud service providers , CSP) 雖已經實施了強大的安全機制,最大限度地降低了資料永久遺失的風險。例如,AWS 的金鑰管理服務 (KMS) 在金鑰刪除請求和永久刪除之間定義7天的緩衝期,為使用者提供了充足的時間來偵測和修正針對S3執行個體的加密勒索攻擊。以下為雲端運算服務勒索攻擊機制:
勒索軟體利用雲端服務竊取資料
除了針對雲端服務的勒索軟體之外,威脅行為者越來越多地使用雲端服務來竊取想要勒索的資料。2024年9月,modePUSH 報導稱,BianLian和Rhysida勒索軟體組織現在正從受害者使用Azure儲存資源管理器環境中竊取資料,以代替MEGAsync和rclone等從前上流行的工具。2024年10月,趨勢科技報告稱,一個模仿臭名昭著的 Lockbit勒索軟體組織的勒索軟體攻擊行為者正在使用利用Amazon’s Simple Storage Service (S3) 儲存樣本竊取目標轉從Windows或 macOS系統竊取的資料。
Web應用程式勒索攻擊
Web應用程式通常透過雲端服務運作。由於其極簡特性,雲端環境成為一個自然的託管點,其中的應用程式更易於管理,並且比在完整的作業系統上運行需要更少的配置和維護。然而,Web應用程式本身很容易受到勒索攻擊。SentinelLabs已發現多個針對PHP應用程式的勒索腳本。發現了一個名為Pandora的Python腳本,這是一個針對各種Web服務的多功能工具。該工具與利用二進位檔案攻擊 Windows系統。Pandora 腳本使用AES加密來攻擊多種類型的系統,包括PHP伺服器、Android和Linux。PHP勒索函數透過 OpenSSL 函式庫使用AES加密檔案。Pandora Python腳本在網頁伺服器上運行,將PHP程式碼輸出寫入路徑pandora/Ransomware,並在執行時間使用作為參數提供的檔案名稱並附加.php副檔名。
結論
雲端服務勒索攻擊是一種新興威脅,由於企業不斷致力於雲端服務供應商 (Cloud service providers , CSP) 安全措施,並擁有大量旨在最大限度降低風險的雲端安全產品,能夠協助更好地防禦攻擊。
註1: EBS(Elastic Block Store)是AWS的區塊類型(Block)儲存服務,可以建立供EC2執行個體使用區塊類型儲存區,目前有4種不同效能等級的磁碟區類型可選:通用型SSD、預先配置IOPS的SSD、傳輸率最佳化的硬碟,以及冷硬碟。參考連結:
註2: CMK 加密: 建立物件後,CMK 加密即可運作。 您無法對已存在的物件進行加密。 每當物件儲存到磁碟時 (無論是長期儲存的待用資料,還是短期儲存的暫存資料),就會發生 CMK 加密。 使用 CMK 時,磁碟永遠不會看到未加密的資料。可加密的物件包括索引、同義字清單、索引子、資料來源和技能集。 在計算上,加密後再解密的成本會很高,因此只會對機密性的內容進行加密。
本文參考自:https://www.sentinelone.com/blog/the-state-of-cloud-ransomware-in-2024/