Codefinger攻撃は、侵害されたAWSキーを利用してAmazon S3バケットを標的とする、クラウドネイティブランサムウェアの新しい形です。この高度なランサムウェアは、AWSの顧客提供キーによるサーバー側暗号化 (SSE-C) を悪用して S3 オブジェクトを暗号化し、攻撃者が保持する復号キーがなければ組織がデータにアクセスできないようにします。攻撃者は、ファイルを削除対象としてマークすることで緊急性をさらに高め、脅威の深刻度を高めます。
この攻撃が特に懸念されるのは、AWS の脆弱性を悪用することなく、AWSネイティブの暗号化機能を使用して組織を自社のデータから締め出す点です。この高度なアプローチは、組織が予防と検知の両方に対応する強力なクラウドセキュリティ戦略を採用する必要があることを強調しています。
Codefinger攻撃のワークフロー
主にローカルでのファイルの暗号化に焦点を当てていた以前のランサムウェア攻撃とは異なり、現代のランサムウェア攻撃では、データの盗難、恐喝の脅威、高度なクラウドネイティブ戦術が組み込まれることがよくあります。Codefinger 攻撃は、Amazon S3の顧客提供キーによるサーバー側暗号化 (SSE-C) などのAWS のクラウドネイティブ機能を活用して被害者の環境に直接統合し、従来の回復方法を無効にすることで、この進化を実証しています。
以下は、Halcyonの分析に基づく、Codefinger脅威アクターによる攻撃が、最初のアクセスから身代金の要求の展開に至るまで、どのように展開されるかを簡単に説明したものです。
- 最初のアクセス:攻撃者は、一般に公開された、または侵害されたAWS APIキーを使用して、被害者のアカウントにアクセスする。
- 発見:一旦内部に侵入すると、攻撃者は必然的にS3バケットやオブジェクトの列挙などの操作を実行する必要がある。
- クレデンシャルの悪用:盗んだ認証情報を使って、攻撃者はS3バケットにアクセスし、オブジェクトをダウンロードする。
- SSE-Cによる暗号化: 攻撃者は脅威者が所有/生成した対称暗号鍵でデータを暗号化し、被害者が復元できないようにする。
- ライフサイクル操作:オブジェクトのライフサイクルポリシーが変更され、ファイルが削除されるため、被害者は身代金の要求に応じる必要が生じる。
- 身代金の要求:被害ディレクトリに身代金メモが置かれ、支払い方法と介入に対する警告が表示される。
予防だけでは不十分な理由
AWSは 、ランサムウェアに対する防御の第一線として、強固な予防策を導入するよう組織に助言しています 。
これらの措置には以下が含まれます。
- 短期クレデンシャルを導入する:長期的なクレデンシャルを避けることで、侵害のリスクを排除できる (存在しないクレデンシャルを盗むことができない)。IAMロール、IAM Identity Center、Security Token Service (STS)などのAWSツールを使用して、コードや設定ファイルに認証情報を保存することなく、安全な短期アクセスを提供する。
- S3バケットでバージョニングとオブジェクトロックを有効にする:一方、オブジェクトロックは重要なデータの上書きや削除を防ぐ。
- SSE-Cの使用を制限する:IAMポリシーを使用して、明示的に要求されない限りSSE-Cをブロックする。これにより、攻撃者がカスタム暗号化キーを活用してデータからロックアウトするのを防ぐことができる。
- 鍵の一元管理:AWS KMS(Key Management Service)を使って暗号鍵を集中管理する。サービスコントロールポリシー(SCP)を適用し、特定の鍵や暗号操作の使用を信頼できるユーザーやアプリケーションに制限する。
- 高度なロギングとモニタリングの実装:包括的なS3データプレーンロギングでAWS CloudTrailを有効にし、すべてのバッカーアクティビティを監視する。一括暗号化、ライフサイクルポリシーの変更、レプリケーションルールの不正使用など、通常とは異なるAPIアクティビティに対してアラームを設定する。
このような手順を踏むことで、アタックサーフェスを大幅に減らし、攻撃者がクラウドネイティブの機能を悪用する機会を制限することができる。しかし、Codefingerのような高度な攻撃が示すように、防御だけでは十分ではありません。たとえ最善の予防策を講じたとしても、攻撃者は設定のミスを悪用したり、漏洩したキーを使ってアクセスしたり、正規のクラウドサービスを悪用したりして、防御を迂回することができます。
Kat Traxlerのホワイトペーパー「Cloud-Native Ransomware」は、攻撃者が悪意のある目的のためにクラウドネイティブツールをどのように悪用するかに焦点を当てています。この調査では、ロギングとモニタリングのギャップによって攻撃者がどのように活動を隠すことができるのか、またクラウドネイティブ型ランサムウェアのさまざまなライフサイクルステージなど、重要な洞察について概説しています。これらの調査結果は、強固な予防策とプロアクティブな脅威の検知およびレスポンス組み合わせた包括的な戦略の必要性を強化しています。
ベストプラクティスAWSにおける強固な侵害後の脅威検知
AWSの予防的な推奨を補完するために、組織は以下の検知とレスポンス ベストプラクティスを実施すべきです。
- 初期段階の振る舞いを監視する:バケットの列挙やIAMパーミッションの発見などの偵察活動を検知することで、攻撃者が計画を進めるのを阻止することができる。
- 振る舞いベースの検知:振る舞い分析を使用して、APIコール、特権の昇格、暗号化イベントの異常なパターンを特定する。
- 包括的なロギング:S3データイベントを含むすべてのリージョンとサービスに対してCloudTrailが有効になっていることを確認し、潜在的に悪意のあるアクションを可視化する。
- 自動化されたレスポンス:自動化されたワークフローを採用し、不審なアクティビティを検知したら直ちに侵害されたアカウントまたはサービスを隔離する。
- 侵害後の緩和: 権限の昇格、不正なライフサイクルポリシーの変更、または大量のデータ操作の兆候を監視することで、ラテラルムーブを阻止し、被害を最小限に抑えることに重点を置く。
予防的な対策は不可欠ですが、侵害のリスクを排除することはできません。プロアクティブな予防策と堅牢な検知とレスポンス機能を組み合わせることで、企業はコCodefingerのような高度な脅威を軽減できるレジリエントなクラウド・セキュリティ・プログラムを構築することができます。
Vectra AIプラットフォームがお手伝いできること
Vectra AIプラットフォームは、サインイン前とサインイン後の攻撃者の振る舞いに関する比類のない可視性、AIの優先順位付け、包括的なレスポンス機能を提供し、Codefingerのような脅威アクターが使用する高度な攻撃に対処するセキュリティチームを強化する。
エクスポージャーを軽減するカバレッジ
Vectra AI Platformは、クラウド環境を可視化し、脅威が拡大する前に特定します。AWSサービスの不審な動作を監視することで、不正アクセス、権限の昇格、その他のランサムウェア関連の動作を検知し、企業が脅威へのさらなるエクスポージャーを減らし、防御を強化できるようにします。
脅威検知の遅延を解消するクラリティ
Vectra AIプラットフォームは、脅威を検知するだけでなく、リスクに基づいてインシデントの優先順位付けを行います。Vectra 、AIを使用して疑わしい振る舞いを役割ではなく本来のアクターに帰属させ、攻撃のあらゆる段階で必要なコンテキストを提供します。これにより、セキュリティチームは全体像を把握し、調査を効率的に進めることができます。何が違うかではなく、攻撃者の振る舞いに基づいて脅威を顕在化させることで、セキュリティチームは最も重要な問題に優先順位をつけて最初に対処することができます。
攻撃を阻止するコントロール
Vectra AIは、自動化と専門家のサポートを組み合わせることで、セキュリティチームが攻撃を制御し、阻止できるようにします。セキュリティアナリストは、攻撃の進行を追跡するためのガイド付き経路の即時調査や、ネットワークメタデータ、ID、AWSログを横断するカスタムクエリの高度な調査を活用できます。クラウドネイティブなレスポンスワークフローにより、チームはリージョン間でクラウドプリンシパルを分離してロックダウンし、迅速に封じ込めることができます。
Vectra AI は、AWS Security Hubを含む主要なEDR、SIEM、SOAR、ITSMプラットフォームとシームレスに統合し、インシデント対応プレイブックを自動化およびオーケストレーションします。さらにサポートが必要な場合は、Vectra MXDRを使用すると、セキュリティチームは脅威の検知、調査、対応をハイブリッド攻撃の専門家にアウトソーシングできます。
これらの機能を活用することで、セキュリティチームは、AWSの鍵にアクセスできる攻撃者が操作をエスカレートさせる前に阻止することができます。
Vectra AIがどのようにお役に立てるかについては、セルフガイドツアーをご覧いただくか、今すぐセキュリティアセスメントをご予約いただき、貴社のセキュリティギャップを特定してください。