Codefinger攻撃は、クラウドネイティブ・ランサムウェアの新境地を示すもので、漏洩したAWSキーを活用してAmazon S3バケットを狙います。AWSのServer-Side Encryption with Customer-Provided Keys (SSE-C)を悪用することで、この高度なランサムウェアはS3オブジェクトを暗号化し、攻撃者が保持する復号化キーなしではデータにアクセスできない状態にします。攻撃者はさらに、ファイルを削除するようマークすることで緊急性を強め、脅威の深刻度を高めています。
この攻撃が特に問題なのは、AWSの脆弱性を悪用することなく、AWSネイティブの暗号化機能を使用して、組織自身のデータをロックアウトしていることです。この巧妙なアプローチは、企業が予防と検知の両方に対応する強固なクラウドセキュリティ戦略を採用する必要性を強調している。
コードフィンガー攻撃のワークフロー
主にローカルでファイルを暗号化することに重点を置いていた以前のランサムウェア攻撃とは異なり、最新のランサムウェアキャンペーンは、データ窃盗、恐喝脅威、および高度なクラウドネイティブ戦術を組み込んでいることがよくあります。Codefinger攻撃は、Amazon S3のServer-Side Encryption with Customer-Provided Keys (SSE-C)のようなAWSのクラウドネイティブ機能を活用することで、被害者の環境に直接統合し、従来のリカバリ方法を無効にすることで、この進化を例証しています。
以下は、Halcyonの分析に基づく、Codefinger脅威アクターによる攻撃が、最初のアクセスから身代金要求の展開に至るまで、どのように展開されるかを簡単に説明したものです:
- 最初のアクセス:攻撃者は、一般に公開された、または侵害されたAWS APIキーを使用して、被害者のアカウントにアクセスする。
- 発見:一旦内部に侵入すると、攻撃者は必然的にS3バケットやオブジェクトの列挙などの操作を実行する必要がある。
- クレデンシャルの悪用:盗んだ認証情報を使って、攻撃者はS3バケットにアクセスし、オブジェクトをダウンロードする。
- SSE-Cによる暗号化: 攻撃者は脅威者が所有/生成した対称暗号鍵でデータを暗号化し、被害者が復元できないようにする。
- ライフサイクル操作:オブジェクトのライフサイクルポリシーが変更され、ファイルが削除されるため、被害者は身代金の要求に応じる必要が生じます。
- 身代金要求:被害ディレクトリに身代金メモが置かれ、支払い方法と介入に対する警告が表示される。
予防だけでは不十分な理由
AWSは 、ランサムウェアに対する防御の第一線として、強固な予防策を導入するよう組織に助言している 。
これらの措置には以下が含まれる:
- 短期クレデンシャルを導入する:長期的なクレデンシャルを避けることで、存在しないクレデンシャルを盗むことができないため、侵害のリスクを排除できる。IAMロール、IAM Identity Center、Security Token Service (STS)などのAWSツールを使用して、コードや設定ファイルに認証情報を保存することなく、安全な短期アクセスを提供する。
- S3バケットでバージョニングとオブジェクトロックを有効にする:一方、オブジェクトロックは重要なデータの上書きや削除を防ぎます。
- SSE-Cの使用を制限する:IAMポリシーを使用して、明示的に要求されない限りSSE-Cをブロックする。これにより、攻撃者がカスタム暗号化キーを活用してデータからロックアウトするのを防ぐことができる。
- 鍵の一元管理:AWS KMS(Key Management Service)を使って暗号鍵を集中管理する。サービスコントロールポリシー(SCP)を適用し、特定の鍵や暗号操作の使用を信頼できるユーザーやアプリケーションに制限する。
- 高度なロギングとモニタリングの実装包括的なS3データプレーンロギングでAWS CloudTrailを有効にし、すべてのバッカーアクティビティを監視します。一括暗号化、ライフサイクルポリシーの変更、レプリケーションルールの不正使用など、通常とは異なるAPIアクティビティに対してアラームを設定します。
このような手順を踏むことで、攻撃対象領域を大幅に減らし、攻撃者がクラウドネイティブの機能を悪用する機会を制限することができる。しかし、Codefingerのような高度な攻撃が示すように、防御だけでは十分ではない。たとえ最善の予防策を講じたとしても、攻撃者は設定のミスを悪用したり、漏洩したキーを使ってアクセスしたり、正規のクラウドサービスを悪用したりして、防御を迂回することができる。
Kat Traxlerのホワイトペーパー「Cloud-Native Ransomware」は、攻撃者が悪意のある目的のためにクラウドネイティブツールをどのように悪用するかに焦点を当てています。この調査では、ロギングとモニタリングのギャップによって攻撃者がどのように活動を隠すことができるのか、またクラウドネイティブ型ランサムウェアのさまざまなライフサイクルステージなど、重要な洞察について概説しています。これらの調査結果は、強固な予防策とプロアクティブな脅威の検出およびレスポンス組み合わせた包括的な戦略の必要性を強化している。
ベストプラクティスAWSにおける強固な侵害後の脅威検知
AWSの予防的な推奨を補完するために、組織は以下の検知とレスポンス ベストプラクティスを実施すべきである:
- 初期段階の行動を監視する:バケットの列挙やIAMパーミッションの発見などの偵察活動を検出することで、攻撃者が計画を進めるのを阻止することができる。
- 振る舞いベースの検出:振る舞い 分析を使用して、APIコール、特権の昇格、暗号化イベントの異常なパターンを特定します。
- 包括的なロギング:S3データイベントを含むすべてのリージョンとサービスに対してCloudTrailが有効になっていることを確認し、潜在的に悪意のあるアクションを可視化します。
- 自動化されたレスポンス:自動化されたワークフローを採用し、不審なアクティビティを検出したら直ちに侵害されたアカウントまたはサービスを隔離します。
- 侵害後のミティゲーション権限の昇格、不正なライフサイクルポリシーの変更、大量のデータ操作の兆候を監視することで、横方向の動きを阻止し、被害を最小限に抑えることに注力します。
予防的な対策は不可欠ですが、侵害のリスクを排除することはできません。プロアクティブな予防策と堅牢な検出およびレスポンス 機能を組み合わせることで、企業はコードフィンガーのような高度な脅威を軽減できるレジリエントなクラウド・セキュリティ・プログラムを構築することができます。
Vectra AIプラットフォームがお手伝いできること
Vectra AIプラットフォームは、サインイン前とサインイン後の攻撃者の行動に関する比類のない可視性、AIの優先順位付け、包括的なレスポンス 機能を提供し、コードフィンガーのような脅威行為者が使用する高度な攻撃に対処するセキュリティチームを強化する:
被曝を軽減するカバレッジ
Vectra AI Platformは、クラウド環境を可視化し、脅威が拡大する前に特定します。AWSサービスの不審な動作を監視することで、不正アクセス、権限の昇格、その他のランサムウェア関連の動作を検出し、企業が脅威へのさらなる暴露を減らし、防御を強化できるようにします。
脅威検知の遅延を解消するクラリティ
Vectra AIプラットフォームは、脅威を検知するだけでなく、リスクに基づいてインシデントの優先順位付けを行います。Vectra 、AIを使用して疑わしい行動を役割ではなく本来の行為者に帰属させ、攻撃のあらゆる段階で必要なコンテキストを提供します。これにより、セキュリティチームは全体像を把握し、調査を効率的に進めることができます。何が違うかではなく、攻撃者の行動に基づいて脅威を顕在化させることで、セキュリティチームは最も重要な問題に優先順位をつけて最初に対処することができます。
攻撃を阻止するコントロール
Vectra AIは、自動化と専門家のサポートを組み合わせることで、セキュリティチームが攻撃を制御し、阻止できるようにします。セキュリティ・アナリストは、攻撃の進行を追跡するためのガイド付き経路の即時調査や、ネットワーク・メタデータ、ID、AWSログを横断するカスタム・クエリの高度な調査を活用できます。クラウドネイティブなレスポンス 、チームはリージョン間でクラウドプリンシパルを分離してロックダウンし、迅速に封じ込めることができます。
Vectra AIは、AWS Security Hubを含む主要なEDR、SIEM、SOAR、ITSMプラットフォームとシームレスに統合し、レスポンス 自動化およびオーケストレーションします。さらに、Vectra MXDRを利用することで、セキュリティチームは脅威の検出、調査、レスポンス ハイブリッド攻撃の専門家にアウトソースすることができます。
これらの機能を活用することで、セキュリティチームは、AWSの鍵にアクセスできる攻撃者が操作をエスカレートさせる前に阻止することができる。
Vectra AIがどのようにお役に立てるかについては、セルフガイドツアーをご覧いただくか、今すぐセキュリティアセスメントをご予約いただき、セキュリティギャップを特定してください!