サイバーニュース.jp

世界のサイバーなニュースを配信

Amazon S3の誤設定を悪用する新たなランサムウェア亜種が登場

カテゴリ:

はじめに:クラウド環境を狙うランサムウェアの台頭

ランサムウェアの脅威は、従来のオンプレミスシステムからクラウド環境へとその標的をシフトさせています。組織がクラウドプラットフォームへの移行を進める中、脅威アクターも戦術を適応させ、従来の暗号化ベースのマルウェアから、クラウドストレージサービス固有のアーキテクチャや誤設定の脆弱性を悪用する手法へと移行しています。

特にAmazon Simple Storage Service (S3)のようなクラウドストレージサービスは、顧客のバケット設定やアクセス制御における潜在的な誤設定により、魅力的な標的となっています。クラウドに特化したランサムウェアは、オンプレミス環境を狙うものとは異なり、ネイティブのクラウド機能を活用してデータを削除、上書き、アクセスを停止、または機密情報を抜き取ります。これらは従来のセキュリティツールによる検知をすり抜ける傾向があります。

S3ランサムウェアの5つの主要亜種

セキュリティ研究者らは、観測された攻撃手法と潜在的な将来のベクトルを組み合わせた5つの異なるS3ランサムウェア亜種を文書化しています。これらの亜種は、クラウドネイティブな攻撃戦略の高度さと、適切なAWS設定の極めて重要な重要性を示しています。

  • 亜種1:デフォルトAWS KMSキーの悪用

    攻撃者は、複数のAWSアカウントからアクセス可能なカスタマー管理キー(CMK)を作成し、SSE-KMS暗号化を使用して被害者のデータを暗号化します。その後、キー削除を7日以内にスケジュールします。理論的には実行可能ですが、AWSサポート介入の可能性があるため、現実世界での発生は低いと考えられています。

  • 亜種2:CodefingerによるSSE-Cの利用

    脅威アクターCodefingerに起因するこの亜種は、顧客提供キーによるサーバーサイド暗号化(SSE-C)を利用します。この亜種は非常に効果的であることが判明しており、攻撃者が暗号化キーを直接制御するため、顧客もAWSも復旧手段がありません。AWSはキー自体ではなく、そのHMACのみをログに記録するため、AWSサポートが介入しても復号は不可能です。

  • 亜種3:データ抜き取りと削除

    この亜種は暗号化を完全に放棄し、データ抜き取りと削除を組み合わせます。脅威アクターはAWS認証情報を盗み、機密データを自身の環境にコピーした後、元のS3バケットの内容を削除します。この直接的なアプローチは、現実世界でのキャンペーンで非常に発生しやすいと考えられています。

  • 亜種4:AWS KMS外部キーマテリアル(BYOK)の悪用

    AWS KMSの外部キーマテリアルをBring Your Own Key(BYOK)プロセスを通じて悪用します。攻撃者は自身のキーマテリアルをインポートし、短い有効期限を設定してS3バケットを暗号化します。これにより、データは顧客とAWSの両方にとって永続的にアクセス不能になります。

  • 亜種5:KMS外部キーストア(XKS)機能の悪用

    この亜種は、暗号化キーをAWSの外部に完全に保存できるKMS外部キーストア(XKS)機能を悪用します。攻撃者は、ngrokのようなツールを使用してローカルサービスを公開HTTPSエンドポイント経由でトンネリングするXKSプロキシ実装を展開し、AWSインフラストラクチャ内に存在しない暗号化キーを作成します。

検出と防御策

Trend Vision Oneは、AWS CloudTrailイベントに対する重要な可視性を提供し、活動中のランサムウェア活動を検出・対応します。このプラットフォームには、亜種固有の検出機能に加え、汎用的な攻撃前・後段階の指標が含まれており、暗号化が発生する前に侵害の試みを特定できます。

主要な検出項目には、AWS S3ランサムウェア活動パターン、異常な暗号化設定、一括ダウンロードおよび削除シーケンス、不審なIAM権限昇格などがあります。また、28以上の専用S3セキュリティルールが、MFA削除の無効化、オブジェクトロックの欠如、SSE-C使用の有効化などの誤設定を監視します。

組織は、クラウドインフラストラクチャに特化した多層的なセキュリティ制御を採用しなければなりません。重要な対策には以下が含まれます。

  • IAMポリシーを通じた最小特権アクセスの徹底
  • クロスアカウント操作を制限するためのKMSガバナンスの強化
  • 上書きを防ぐためのS3オブジェクトロックとバージョン管理の有効化
  • 機密性の高い操作に対する多要素認証(MFA)要件の維持
  • 別個のCMKを用いたクロスアカウントレプリケーションによるバックアップ隔離で、クリーンな復旧オプションを確保
  • 異常な活動を迅速に検出するための継続的なCloudTrail監視
  • インシデント発生前に復元能力を検証し、設定のずれを特定するための定期的なリカバリテスト

AWSが責任共有モデルを通じて強調しているように、防御側はクラウドプロバイダーの保護のみに依存するのではなく、積極的なセキュリティ管理の姿勢をとる必要があります。

元記事: https://gbhackers.com/ransomware-variants/

投稿をさらに読み込む