Amazon в огне: как временные токены стали новым оружием в руках злоумышленников

Исследователи в области кибербезопасности из компании Red Canary, Томас Гарднер и Коди Бетсворт, обнаружили , что злоумышленники могут использовать сервис Security Token Service (STS) в Amazon Web Services (AWS) для проникновения в облачные аккаунты и проведения последующих атак.

AWS STS — это веб-сервис, позволяющий пользователям запрашивать временные учётные данные с ограниченными правами для доступа к ресурсам AWS без необходимости создания AWS-удостоверения. Срок действия этих токенов STS может варьироваться от 15 минут до 36 часов.

Преступники могут похитить долгосрочные токены IAM, используя различные методы, такие как заражение вредоносным ПО, публично доступные учётные данные и фишинговые электронные письма, а затем использовать их для определения ролей и привилегий, связанных с этими токенами, через API-вызовы.

В зависимости от уровня разрешений токена, злоумышленники могут использовать его для создания дополнительных пользователей IAM с долгосрочными токенами AKIA для обеспечения постоянства в случае обнаружения и отзыва их первоначального токена AKIA со всеми короткосрочными токенами ASIA, которые он генерирует.

На следующем этапе используется аутентифицированный при помощи MFA токен STS для создания нескольких новых краткосрочных токенов, за которыми следует выполнение действий после эксплуатации, таких как эксфильтрация данных.

Для предотвращения злоупотребления токенами AWS эксперты Red Canary рекомендуют регистрировать данные событий CloudTrail, обнаруживать события связывания ролей и злоупотребления MFA, а также регулярно обновлять долгосрочные ключи доступа пользователей IAM.

Исследователи подчёркивают: «AWS STS является критически важным элементом безопасности для ограничения использования статических учётных данных и продолжительности доступа пользователей к облачной инфраструктуре. Однако в определённых конфигурациях IAM, которые распространены во многих организациях, злоумышленники также могут создавать и злоупотреблять этими токенами STS для доступа к облачным ресурсам и выполнения вредоносных действий».

Этот случай демонстрирует, насколько важно тщательно контролировать доступ и привилегии в облачных средах. Даже такие, казалось бы, надёжные инструменты безопасности, как временные токены AWS STS, могут быть использованы злоумышленниками, если в компании не приняты должные меры предосторожности.

Чтобы избежать подобного, организациям следует тщательнее отслеживать активность в своих облачных аккаунтах, регулярно обновлять учётные данные и ограничивать привилегии согласно принципу наименьших прав доступа. Бдительность и продуманный подход к безопасности — ключ к защите от подобных атак.