Otkrivanje narušavanja AWS naloga: Ključni indikatori u CloudTrail logovima za ukradene API ključeve

Kako infrastruktura oblaka postaje osnova modernih preduzeća, osiguravanje sigurnosti ovih okruženja je najvažnije. S obzirom da je AWS (Amazon Web Services) i dalje dominantan oblak, važno je da svaki stručnjak za sigurnost zna gdje da traži znakove kompromisa. AWS CloudTrail se ističe kao suštinski alat za praćenje i evidentiranje API aktivnosti, pružajući sveobuhvatan zapis o radnjama preduzetim unutar AWS naloga. Zamislite AWS CloudTrail kao reviziju ili evidenciju događaja za sve API pozive obavljene na vašem AWS nalogu. Za profesionalce za sigurnost, praćenje ovih dnevnika je kritično, posebno kada je u pitanju otkrivanje potencijalnog neovlaštenog pristupa, poput ukradenih API ključeva.

1. Neobični API pozivi i obrasci pristupa#

A. Iznenadni skok u API zahtjevima#

Jedan od prvih znakova potencijalnog kršenja sigurnosti je neočekivano povećanje zahtjeva za API-jem. CloudTrail bilježi svaki API poziv upućen unutar vašeg AWS naloga, uključujući i ko je uputio poziv, kada je upućen i odakle. Napadač sa ukradenim API ključevima može pokrenuti veliki broj zahtjeva u kratkom vremenskom periodu, bilo da traži informacije na računu ili pokušava da iskoristi određene usluge.

Šta tražiti:

• Iznenadni, nekarakteristični porast API aktivnosti.
• API pozivi sa neobičnih IP adresa, posebno iz regiona u kojima legitimni korisnici ne rade.
• Pokušava pristupiti širokom spektru usluga, posebno ako ih vaša organizacija obično ne koristi.

Imajte na umu da će Guard Duty (ako je omogućena) automatski označiti ove vrste događaja, ali morate paziti da ih pronađete.

B. Neovlašteno korištenje root računa#

AWS snažno preporučuje izbjegavanje korištenja root naloga za svakodnevne operacije zbog visokog nivoa privilegija. Svaki pristup root nalogu, posebno ako se koriste API ključevi povezani sa njim, predstavlja značajnu crvenu zastavicu.

Šta tražiti:

• API pozivi napravljeni sa kredencijalima root naloga, posebno ako se root nalog obično ne koristi.
• Promjene postavki na razini računa, kao što je izmjena informacija o naplati ili konfiguracija računa.

2. Anomalna IAM aktivnost#

A. Sumnjivo kreiranje pristupnih ključeva#

Napadači mogu kreirati nove pristupne ključeve kako bi uspostavili trajni pristup narušenom nalogu. Nadgledanje CloudTrail dnevnika za kreiranje novih pristupnih ključeva je ključno, posebno ako su ovi ključevi kreirani za račune koji ih obično ne zahtijevaju.

Šta tražiti:

• Kreiranje novih pristupnih ključeva za IAM korisnike, posebno one kojima prije nisu bili potrebni.
• Trenutna upotreba novokreiranih pristupnih ključeva, što može ukazivati ​​na to da napadač testira ili koristi ove ključeve.
• API pozivi koji se odnose na `CreateAccessKey`, `ListAccessKeys` i `UpdateAccessKey`.

B. Uzorci pretpostavke uloge#

AWS omogućava korisnicima da preuzmu uloge, dajući im privremene kredencijale za određene zadatke. Praćenje neobičnih obrazaca preuzimanja uloga je od vitalnog značaja, jer napadač može preuzeti uloge koje će se okretati unutar okruženja.

Šta tražiti:

• Neobični ili česti pozivi API-ja `AssumeRole`, posebno ulogama s povišenim privilegijama.
• Pretpostavke uloga iz IP adresa ili regija koje obično nisu povezane s vašim legitimnim korisnicima.
• Pretpostavke uloga koje prate radnje koje nisu u skladu sa normalnim poslovanjem.

3. Anomalni pristup podacima i kretanje#

A. Neobičan S3 Bucket Access#

Amazon S3 je često meta napadača, s obzirom na to da može pohraniti ogromne količine potencijalno osjetljivih podataka. Nadgledanje CloudTrail-a za neobičan pristup S3 buckets je od suštinskog značaja za otkrivanje narušenih API ključeva.

Šta tražiti:

• API pozivi koji se odnose na `ListBuckets`, `GetObject` ili `PutObject` za segmente koji obično ne vide takvu aktivnost.
• Velika preuzimanja ili otpremanja podataka u i iz S3 bucketa, posebno ako se dešavaju izvan uobičajenog radnog vremena.
• Pokušava pristupiti segmentima koji pohranjuju osjetljive podatke, kao što su sigurnosne kopije ili povjerljive datoteke.

B. Pokušaji eksfiltracije podataka#

Napadač može pokušati da premjesti podatke iz vašeg AWS okruženja. CloudTrail evidencije mogu pomoći u otkrivanju takvih pokušaja eksfiltracije, posebno ako su obrasci prijenosa podataka neobični.

Šta tražiti:

• Veliki prijenos podataka sa servisa kao što su S3, RDS (Relational Database Service) ili DynamoDB, posebno na vanjske ili nepoznate IP adrese.
• API pozivi koji se odnose na usluge kao što su AWS DataSync ili S3 Transfer Acceleration koji se obično ne koriste u vašem okruženju.
• Pokušaji kreiranja ili modificiranja konfiguracija replikacije podataka, kao što su oni koji uključuju S3 međuregionalnu replikaciju.

4. Neočekivane izmjene sigurnosne grupe#

Sigurnosne grupe kontrolišu ulazni i odlazni promet do AWS resursa. Napadač može izmijeniti ove postavke kako bi otvorio dodatne vektore napada, kao što je omogućavanje SSH pristupa sa vanjskih IP adresa.

Šta tražiti:

• Promjene pravila sigurnosne grupe koja dozvoljavaju ulazni promet sa IP adresa izvan vaše pouzdane mreže.
• API pozivi koji se odnose na `AuthorizeSecurityGroupIngress` ili `RevokeSecurityGroupEgress` koji nisu usklađeni s normalnim operacijama.
• Kreiranje novih sigurnosnih grupa sa previše dopuštenim pravilima, kao što je dopuštanje cjelokupnog dolaznog prometa na zajedničkim portovima.

5. Koraci za ublažavanje rizika od ukradenih API ključeva#

A. Sprovesti princip najmanje privilegija#

Da biste umanjili štetu koju napadač može učiniti ukradenim API ključevima, implementirajte princip najmanje privilegija na svom AWS nalogu. Osigurajte da IAM korisnici i uloge imaju samo dozvole potrebne za obavljanje svojih zadataka.

B. Implementacija višefaktorske provjere autentičnosti (MFA)#

Zahtijevajte MFA za sve IAM korisnike, posebno one sa administrativnim privilegijama. Ovo dodaje dodatni sloj sigurnosti, što napadačima otežava pristup, čak i ako su ukrali API ključeve.

C. Redovno rotirajte i provjeravajte pristupne ključeve#

Redovno rotirajte pristupne ključeve i osigurajte da su vezani za IAM korisnike kojima su zaista potrebni. Dodatno, provjerite upotrebu pristupnih ključeva kako biste osigurali da se ne zloupotrebljavaju ili koriste s neočekivanih lokacija.

D. Omogućite i nadgledajte CloudTrail i GuardDuty#

Osigurajte da je CloudTrail omogućen u svim regijama i da su dnevnici centralizirani za analizu. Pored toga, AWS GuardDuty može da obezbedi praćenje u realnom vremenu za zlonamjerne aktivnosti, nudeći još jedan sloj zaštite od narušenih kredencijala. Uzmite u obzir da AWS Detective ima neku inteligenciju izgrađenu na vrhu nalaza.

E. Koristite AWS Config za praćenje usklađenosti#

AWS Config se može koristiti za praćenje usklađenosti sa najboljim sigurnosnim praksama, uključujući ispravnu upotrebu IAM politika i sigurnosnih grupa. Ovaj alat može pomoći u identifikaciji pogrešnih konfiguracija koje mogu učiniti vaš račun ranjivim na napade.

Zaključak#

Sigurnost vašeg AWS okruženja zavisi od budnog nadzora i brzog otkrivanja anomalija unutar CloudTrail dnevnika. Razumijevanjem tipičnih obrazaca legitimne upotrebe i opreza na odstupanja od ovih obrazaca, stručnjaci za sigurnost mogu otkriti i odgovoriti na potencijalne kompromise, poput onih koji uključuju ukradene API ključeve, prije nego što prouzrokuju značajnu štetu. Kako okruženja u oblaku nastavljaju da se razvijaju, održavanje proaktivnog stava o sigurnosti je od suštinskog značaja za zaštitu osjetljivih podataka i osiguravanje integriteta vaše AWS infrastrukture. Ako želite da saznate više o tome šta tražiti u AWS-u za znakove upada, zajedno sa Microsoft i Google oblacima, razmislite o mojoj klasi FOR509 koji se izvodi na SANS Cyber ​​Defense Initiative 2024 .

Izvor: TheHackerNews