Gualtieri甚至還創建了一個概念驗證腳本
Gualtieri甚至還創建了一個概念驗證腳本,利用這些伺服器欺騙受害者相信他們的數據已被加密。
「我能夠編寫一個自動腳本,列出亞馬遜S3存儲桶中的內容,並嘗試下載其中一個文件,然後它將文件內容存儲為MD5散列,將其刪除,最後使用擴展名.enc重新上傳。」
「整體刪除文件看起來也是可能的。」 Gualtieri說。
研究人員幾個月來一直在警告AWS S3客戶
像去年那樣大規模的MongoDB資料庫勒索案件已經給很多安全研究人員帶來了深刻教訓,他們不希望再次出現。
在過去的幾個月里,安全專家Robbie Wiggins一直在掃描網路以查找可公開寫入的S3存儲桶,並向伺服器所有者留下了一個警告文本文件。
「這是一個友好的警告,您的Amazon AWS S3存儲桶設置是錯誤的,」Wiggins在這些文件中寫道。
「任何人都可以對這個存儲桶進行寫入,請在壞人找到它之前解決這個問題。」
BBC對Wiggins的工作也進行了報導,至今他的自動掃描器已經向BBC擁有的50台AWS S3伺服器發出了警告。
但這只是很少的一部分,Wiggins發現了數千個存在這樣隱患的伺服器。根據早些時候發布的推特,Wiggins已經向5,260個亞馬遜AWS S3存儲桶發出了警告。
不過值得慶幸的是,Robbie Wiggins並不是唯一一個這樣做的「志願者」,下圖就是一位匿名者留下的警告。
AWS S3雲的防範措施
目前被攻擊的亞馬遜AWS S3雲,與2017年成千上萬的MongoDB伺服器相比,這個數字還是很低的。
其原因是勒索這些存在隱患的AWS S3存儲桶非常容易,但找到它們卻不那麼簡單。
UpGuard公司網路風險研究主管Chris Vickery稱:「的確,AWS S3有步MongoDB後塵的可能,但它也存在緩解因素。」
「可寫入的S3存儲桶的數量(可以從中刪除文件)遠遠低於可讀取的S3存儲桶的數量(任何人可以從中下載)」,Vickery指出。
因此對於AWS S3雲存儲,黑客常用的刪除文件威脅就沒那麼好用。
不過最大的防範因素還是掃描操作。要搜索MongoDB,ElasticSearch或Hadoop伺服器,攻擊者只需掃描特定埠上的IPv4地址空間。
但S3存儲桶的地址使用冗長的名稱,並不是一個簡單的「IP:埠」組合。
「可能的S3存儲桶名稱的數量非常巨大,查詢[可能的存儲桶名稱]存在的速度比埠掃描慢的多。」
這種技術限制使得對S3桶的勒索攻擊更難,主要原因在於掃描速度較慢,儘管它們仍然可以使用字典式攻擊來編寫腳本。
TAG:白加黑啊 |