top of page

Zlonamjerna eksfiltracija podataka pomoću AWS S3 Replication Service

AWS S3 je postao s vremenom kompleksniji, sa mnogo više funkcija i integracija, što otežava osiguravanje svih njezinih mogućnosti. Jedna od tih mogućnosti je kreiranje i upravljanje backup-a u raznim regijama i na različitim računima. Replikacija s više računa (cross-account) može pomoći organizacijama da se oporave od gubitka podataka (primjer toga je ransomware napad). U pogrešnim rukama, usluga replikacije može dozvoliti akterima prijetnji da eksfiltriraju podatke na nepouzdane lokacije.


Kompanija Vectra, koja je specijalizovana za detektiranje prijetnji i reagovanje na njih, detaljno opisuje ovu vrstu napada, koju naziva zloupotrebom funkcionalnosti („feature abuse“).


Problem je i slaba vidljivost: da bi kontrolisale troškove, organizacije ne omogućuju S3 logging na svim "bucketima", već samo na onim koji su im najvrjedniji.

U takvim slučajevima, S3 evidentira samo pisani trag (tzv. putObject) u "bucket" koji je odredište, a koji je pod kontrolom zlonamjernog aktera s ciljem eksfiltracije podataka.

CloudTrail, AWS-ov okvir za praćenje i evidentiranje, snimit će samo čitanje (tzv. getObject) na izvornom "bucketu", čime žrtva neće biti svjesna činjenice da se dogodilo "daljinsko" pisanje ili eksfiltracija na udaljenu zlonamjernu lokaciju.


Ovo selektivno evidentiranje događaja rezultirat će rupom u vidljivosti eksfiltracije S3 sustava (tako da će, kako je već spomenuto, proći neotkriveno) pošto događaj putObject neće biti zapisan u originalnom računu.

Security timovi moraju stoga proširiti područje nadziranja da im ne promakne ovakva replikacija, te da bi mogli osigurati sveobuhvatno nadziranje podataka.


Ovi i slični problemi pokazuju koliko je važno proširiti vidljivost na servere i usluge u oblaku, otprilike na isti način kao što se to radi za kontrolu endpointova s XDR-om i mogućnostima praćenja ponašanja. Amazon, Azure i Google infrastrukturne usluge u oblaku postaju sve složenije i akteri koji traže nove načine za upad u IT sustav i krađu podataka sigurno će ih zloupotrijebiti.


Pročitajte više o eksfiltraciji podataka pomoću AWS S3 Replication Service na Vectrinom blogu.





Comments


Latest news

bottom of page