AWS 上的第一資本銀行黑客攻擊的技術細節

19 年 2019 月 106 日，第一資本收到了每個現代公司都擔心的消息——發生了資料外洩。 它影響了超過 140 億人。 000 萬個美國社會安全號碼，80 萬個加拿大社會安全號碼。 000 個銀行帳戶。 不愉快，你不同意嗎？

不幸的是，19 月 XNUMX 日黑客事件並沒有發生。 事實證明，佩琪·湯普森，又名 不穩定的，於22年23月2019日至XNUMX月XNUMX日期間提​​交。 那是 大約四個月前。 事實上，只有在外部顧問的幫助下，第一資本才發現出事了。

一名亞馬遜前員工被捕，面臨 250 萬美元罰款和五年監禁……但仍有許多負面影響。 為什麼？ 因為在網路犯罪猖獗的情況下，許多遭受駭客攻擊的公司都試圖擺脫加強基礎設施和應用程式的責任。

不管怎樣，你可以輕鬆地用谷歌搜尋這個故事。 我們不會討論戲劇，但會談論 技術的 事情的一面。

首先，發生了什麼事？

Capital One 大約有 700 個 S3 儲存桶正在運行，Paige Thompson 複製並抽走了這些儲存桶。

其次，這是否又是 S3 儲存桶策略配置錯誤的情況？

不，這次不行。 在這裡，她獲得了對防火​​牆配置不正確的伺服器的存取權限，並從那裡執行了整個操作。

等等，這怎麼可能？

好吧，讓我們從登入伺服器開始，儘管我們沒有太多細節。 我們只被告知這是透過「錯誤配置的防火牆」發生的。 因此，就像安全群組設定不正確或 Web 應用程式防火牆 (Imperva) 或網路防火牆（iptables、ufw、shorewall 等）配置不正確一樣簡單。 第一資本只是承認了自己的罪行，並表示已經堵住了漏洞。

史東表示，第一資本最初並沒有註意到防火牆漏洞，但在意識到這一漏洞後迅速採取了行動。 斯通說，駭客據稱將關鍵識別資訊留在了公共領域，這無疑有助於這一點。

如果您想知道為什麼我們不深入研究這一部分，請理解，由於資訊有限，我們只能推測。 考慮到這次駭客攻擊依賴第一資本留下的漏洞，這是沒有意義的。 除非他們告訴我們更多信息，否則我們只會列出第一資本讓伺服器保持開放的所有可能方式，以及某人可以使用這些不同選項之一的所有可能方式。 這些缺陷和技術的範圍可能從極其愚蠢的疏忽到極其複雜的模式。 考慮到可能性的範圍，這將成為一個漫長的傳奇，沒有真正的結論。 因此，我們重點分析有事實的部分。

因此，第一個要點是：了解您的防火牆允許什麼。

制定政策或適當的流程以確保只打開需要打開的內容。 如果您使用安全群組或網路 ACL 等 AWS 資源，顯然審核清單可能會很長…但就像許多資源是自動建立的（即 CloudFormation）一樣，也可以自動進行審核。 無論是掃描新物件是否有缺陷的自製腳本，還是 CI/CD 流程中的安全審核之類的內容…都有許多簡單的選項可以避免這種情況。

這個故事「有趣」的部分是，如果第一資本一開始就堵住這個漏洞……什麼都不會發生。 所以，坦白說，看到某件事真的如此，總是令人震驚 很簡單 成為公司被駭客攻擊的唯一原因。 尤其是像第一資本這樣大的。

那麼，黑客內部 - 接下來發生了什麼？

好吧，在闖入 EC2 執行個體之後…很多事情都可能會出錯。 如果你讓某人走那麼遠，你實際上就是在刀刃上行走。 但它是如何進入 S3 儲存桶的呢？ 為了理解這一點，我們來討論 IAM 角色。

因此，存取 AWS 服務的一種方法是成為使用者。 好吧，這一點很明顯。 但是，如果您想讓其他 AWS 服務（例如您的應用程式伺服器）存取您的 S3 儲存桶，該怎麼辦？ 這就是 IAM 角色的用途。 它們由兩個部分組成：

1. 信任策略 - 哪些服務或人員可以使用此角色？
2. 權限策略 - 該角色允許什麼？

例如，您想要建立一個 IAM 角色，允許 EC2 執行個體存取 S3 儲存桶：首先，該角色設定為具有信任策略，EC2（整個服務）或特定執行個體可以「接管」該角色。 接受角色意味著他們可以使用該角色的權限來執行操作。 其次，權限策略允許「承擔角色」的服務/人員/資源在 S3 上執行任何操作，無論是存取特定的儲存桶…或是存取超過 700 個儲存桶（如第一資本的情況）。

一旦您進入具有 IAM 角色的 EC2 實例，您可以透過多種方式取得憑證：

1. 您可以在以下位置請求實例元資料： http://169.254.169.254/latest/meta-data

   除此之外，您還可以在此位址找到具有任何存取金鑰的 IAM 角色。 當然，僅當您處於實例中時。

2. 使用 AWS CLI...

   如果安裝了 AWS CLI，則會載入來自 IAM 角色的憑證（如果存在）。 剩下的就是透過實例來工作。 當然，如果他們的信任政策是開放的，佩奇可以直接做任何事。

因此，IAM 角色的本質是它們允許某些資源代表您對其他資源執行操作。

現在您了解了 IAM 的角色，我們可以談談 Paige Thompson 所做的事情：

1. 她透過防火牆中的漏洞存取了伺服器（EC2 實例）

   無論是安全群組/ACL 還是自己的 Web 應用程式防火牆，這個漏洞可能很容易堵塞，正如官方記錄中所述。

2. 一旦進入伺服器，她就能表現得「好像」她自己就是伺服器一樣
3. 由於 IAM 伺服器角色允許 S3 存取這 700 多個儲存桶，因此它能夠存取它們

從那一刻起，她所要做的就是運行命令 List Buckets然後命令 Sync 從 AWS CLI...

第一資本銀行估計這次駭客攻擊造成的損失在 100 億至 150 億美元之間。 為了防止此類損害，該公司在雲端基礎設施保護、DevOps 和安全專家方面投入了大量資金。 遷移到雲端的價值和成本效益如何？ 以至於即使面對越來越多的網路安全挑戰 42年第一季整體公有雲市場成長2019%!

這個故事的寓意是：檢查你的安全； 進行定期審核； 尊重安全策略的最小特權原則。

(這裡 您可以查看完整的法律報告）。

來源： www.habr.com