AWS提供的資料保護措施遭到濫用！勒索軟體駭客將S3儲存桶加密，並向受害者索討贖金

一般而言，在勒索軟體攻擊事故當中，攻擊者通常是利用加密工具破壞電腦檔案，但有人針對雲端環境發動類似攻擊，而且，作案的工具竟是雲端業者提供的資料保護措施。

專門提供勒索軟體防護的資安新創Halcyon揭露一起相當不尋常的勒索軟體攻擊行動，駭客的攻擊目標是AWS的S3儲存桶，而作案的工具，竟是利用AWS供客戶保護資料的措施「伺服器端加密搭配用戶提供的金鑰（Server-Side Encryption with Customer-provided keys，SSE-C）」，將資料加密後，再向使用者勒索，要求支付贖金換取解密資料的AES-256對稱金鑰。

SSE-C是S3保護靜態資料的加密機制，使用者利用自己的金鑰並透過AES-256演算法加解密資料，藉此進一步達到保護的效果。值得留意的是，使用者必須自行製作金鑰並妥善保管，AWS不會代為保管。

針對這種手法的可怕之處，Halcyon資安研究團隊RISE強調，攻擊者無需挖掘AWS系統本身的漏洞，而是事先設法取得其中一個客戶的AWS帳密資料，就有機會得逞。截至目前為止，他們發現只能透過付錢取得解密金鑰，後續才能復原資料，沒有其他回復資料的方法，而此種伎倆的運用，也代表勒索軟體攻擊可能出現重大變化。

發動這波攻擊的駭客組織被稱為Codefinger ，他們濫用公開揭露或外洩的AWS金鑰讀取及寫入S3物件，然後利用AWS原生服務SSE-C加密資料。

值得留意的是，由於AWS僅有在加密過程使用金鑰但並未留存，事後在資安事件記錄服務CloudTrail，也只留下雜湊訊息驗證碼（Hash-based Message Authentication Code，HMAC）資訊，而無法用來還原金鑰或是解密資料。

為了向受害者施壓，這些駭客還透過S3物件生命週期管理API，將檔案標記在7天後刪除。

Halcyon已向AWS通報這起事故，AWS發布聲明表示，他們會基於責任共享的規範（shared responsibility model）來協助用戶保護雲端資源，一旦他們察覺遭曝露的金鑰（exposed keys），就會通知用戶儘速處理。AWS也調查金鑰曝露的通報情形，並採取必要措施因應。

究竟用戶該如何自保？Halcyon指出，企業組織應限縮SSE-C的適用範圍，僅能透過授權的使用者對S3儲存桶執行。再者，管理員應監控及稽核AWS金鑰，並啟用進階事件記錄功能，以此偵測S3儲存桶是否出現不尋常行為。