Zlonamerna eksfiltracija podataka pomoću AWS S3 Replication Service
AWS S3 je postao s vremenom kompleksniji, sa mnogo više funkcija i integracija, što otežava obezbeđivanje svih njegovih mogućnosti. Jedna od tih mogućnosti je kreiranje i upravljanje backup-a u različitim regionima i na različitim nalozima. Replikacija s više naloga (cross-account) može pomoći organizacijama da se oporave od gubitka podataka (primer toga je ransomware napad). U pogrešnim rukama, usluga replikacije može dozvoliti akterima pretnji da eksfiltriraju podatke na nepouzdane lokacije.
Kompanija Vectra, koja je specijalizovana za detektiranje pretnji i reagovanje na njih, detaljno opisuje ovu vrstu napada, koju naziva zloupotrebom funkcionalnosti („feature abuse“).
Problem je i loša vidljivost: da bi kontrolisale troškove, organizacije ne omogućuju S3 logging na svim "bucketima", već samo na onim koji su im najvredniji.
U takvim slučajevima, S3 evidentira samo pisani trag (tzv. putObject) u "bucket" koji je odredište, a koji je pod kontrolom zlonamernog aktera s ciljem eksfiltracije podataka.
CloudTrail, AWS-ov okvir za praćenje i evidentiranje, snimaće samo čitanje (tzv. getObject) na izvornom "bucketu", čineći žrtvu nesvesnom da je došlo do "daljinskog" pisanja ili eksfiltracije na udaljenu zlonamernu lokaciju.
Ovo selektivno evidentiranje događaja rezultirat će rupom u vidljivosti eksfiltracije S3 sustava (tako da će, kako je već pomenuto, proći neotkriveno) pošto događaj putObject neće biti zabeležen u originalnom nalogu.
Bezbednosni timovi moraju stoga da prošire oblast nadgledanja da im ne promakne ovakva replikacija, i da bi mogli da obezbede sveobuhvatno praćenje podataka.
Ovi i slični problemi pokazuju koliko je važno proširiti vidljivost na servere i usluge u oblaku, otprilike na isti način kao što se to radi za kontrolu endpointova s XDR-om i mogućnostima praćenja ponašanja. Amazon, Azure i Google infrastrukturne usluge u oblaku postaju sve složenije i akteri koji traže nove načine za upad u IT sustav i krađu podataka sigurno će ih zloupotrebiti.
Pročitajte više o eksfiltraciji podataka pomoću AWS S3 Replication Service na Vectrinom blogu.