一般而言,在勒索软体攻击事故当中,攻击者通常是利用加密工具破坏电脑档案,但有人针对云端环境发动类似攻击,而且,作案的工具竟是云端业者提供的资料保护措施。
专门提供勒索软体防护的资安新创Halcyon」,将资料加密后,再向使用者勒索,要求支付赎金换取解密资料的AES-256对称金钥。
SSE-C是S3保护静态资料的加密机制,使用者利用自己的金钥并透过AES-256演算法加解密资料,借此进一步达到保护的效果。值得留意的是,使用者必须自行制作金钥并妥善保管,AWS不会代为保管。
针对这种手法的可怕之处,Halcyon资安研究团队RISE强调,攻击者无需挖掘AWS系统本身的漏洞,而是事先设法取得其中一个客户的AWS帐密资料,就有机会得逞。截至目前为止,他们发现只能透过付钱取得解密金钥,后续才能复原资料,没有其他回复资料的方法,而此种伎俩的运用,也代表勒索软体攻击可能出现重大变化。
发动这波攻击的骇客组织被称为Codefinger ,他们滥用公开揭露或外泄的AWS金钥读取及写入S3物件,然后利用AWS原生服务SSE-C加密资料。
值得留意的是,由于AWS仅有在加密过程使用金钥但并未留存,事后在资安事件记录服务CloudTrail,也只留下杂凑讯息验证码(Hash-based Message Authentication Code,HMAC)资讯,而无法用来还原金钥或是解密资料。
为了向受害者施压,这些骇客还透过S3物件生命周期管理API,将档案标记在7天后删除。