top of page
    • Aug 31, 2022

Zlonamerna eksfiltracija podataka pomoću AWS S3 Replication Service

AWS S3 je postao s vremenom kompleksniji, sa mnogo više funkcija i integracija, što otežava obezbeđivanje svih njegovih mogućnosti. Jedna od tih mogućnosti je kreiranje i upravljanje backup-a u različitim regionima i na različitim nalozima. Replikacija s više naloga (cross-account) može pomoći organizacijama da se oporave od gubitka podataka (primer toga je ransomware napad). U pogrešnim rukama, usluga replikacije može dozvoliti akterima pretnji da eksfiltriraju podatke na nepouzdane lokacije.


Kompanija Vectra, koja je specijalizovana za detektiranje pretnji i reagovanje na njih, detaljno opisuje ovu vrstu napada, koju naziva zloupotrebom funkcionalnosti („feature abuse“).


Problem je i loša vidljivost: da bi kontrolisale troškove, organizacije ne omogućuju S3 logging na svim "bucketima", već samo na onim koji su im najvredniji.

U takvim slučajevima, S3 evidentira samo pisani trag (tzv. putObject) u "bucket" koji je odredište, a koji je pod kontrolom zlonamernog aktera s ciljem eksfiltracije podataka.

CloudTrail, AWS-ov okvir za praćenje i evidentiranje, snimaće samo čitanje (tzv. getObject) na izvornom "bucketu", čineći žrtvu nesvesnom da je došlo do "daljinskog" pisanja ili eksfiltracije na udaljenu zlonamernu lokaciju.

Ovo selektivno evidentiranje događaja rezultirat će rupom u vidljivosti eksfiltracije S3 sustava (tako da će, kako je već pomenuto, proći neotkriveno) pošto događaj putObject neće biti zabeležen u originalnom nalogu.

Bezbednosni timovi moraju stoga da prošire oblast nadgledanja da im ne promakne ovakva replikacija, i da bi mogli da obezbede sveobuhvatno praćenje podataka.


Ovi i slični problemi pokazuju koliko je važno proširiti vidljivost na servere i usluge u oblaku, otprilike na isti način kao što se to radi za kontrolu endpointova s XDR-om i mogućnostima praćenja ponašanja. Amazon, Azure i Google infrastrukturne usluge u oblaku postaju sve složenije i akteri koji traže nove načine za upad u IT sustav i krađu podataka sigurno će ih zloupotrebiti.


Pročitajte više o eksfiltraciji podataka pomoću AWS S3 Replication Service na Vectrinom blogu.





Latest news

bottom of page