Codefinger ransomware gang uses compromised AWS keys to encrypt S3 bucket
Codefinger ransomware gang uses compromised AWS keys to encrypt S3 bucket
The ransomware group Codefinger is using compromised AWS keys to encrypt S3 bucket data using SSE-C, Halcyon researchers warn.
securityaffairs.com
- 주요 공격 방식
- Codefinger 랜섬웨어 그룹은 AWS 키를 탈취하여 S3 버킷 데이터를 암호화
- AWS 고객 제공 키 기반 서버 측 암호화(SSE-C)를 사용하여 데이터를 암호화한 후, 복호화에 필요한 AES-256 대칭 키에 대해 비트코인으로 몸값 요구
- AWS CloudTrail 로그에는 암호화 키 대신 HMAC(Hash-based Message Authentication Code)만 기록되어 복구 불가능
- 공격 프로세스
- 공개되거나 탈취된 AWS 키를 이용하여 s3:GetObject 및 s3:PutObject 요청 권한을 가진 키를 탐색
- x-amz-server-side-encryption-customer-algorithm 헤더를 호출해 암호화 시작
- AES-256 암호화 키는 공격자가 로컬에 저장하며 AWS는 이를 저장하지 않음
- 암호화된 파일은 7일 내 삭제 예약되어 피해자에 대한 압박 증가
- 각 디렉토리에 비트코인 결제를 요구하는 랜섬 노트를 배포하며, 계정 권한 변경 시 협상이 종료됨을 경고
- 주요 문제점
- 암호화된 데이터는 공격자 키 없이는 복구 불가능
- AWS CloudTrail 로그에 남는 포렌식 증거가 제한적
- Amazon S3의 주요 데이터 스토리지에 심각한 운영 중단 초래 가능
- 보안 권고
- AWS의 공유 책임 모델에서 사용자는 IAM 정책으로 SSE-C 사용 제한 및 AWS 키 모니터링 필요
- AWS 권고사항
- IAM 역할을 활용하여 장기 키 대신 단기 자격 증명 사용
- AWS Secrets Manager로 비AWS 자격 증명 관리 및 자동 회전
- S3 상세 로깅 활성화 및 AWS 지원 팀과 협력
- Halcyon 권장사항
- AWS 환경 강화: SSE-C 사용 제한, AWS 키 감사
- 관리자 계정과 기술자 계정의 자격 증명 관리 강화
- 결론
- Codefinger 랜섬웨어는 AWS의 SSE-C 암호화 인프라를 악용하여 데이터 복구를 불가능하게 하고 피해자에게 압박을 가함
- 기업은 IAM 역할, Secrets Manager, 포괄적 로깅과 같은 AWS 보안 도구를 적극 활용하여 자격 증명 노출을 방지해야 함
- 랜섬웨어에 대비한 예방적 보안 체계 강화가 필수적임
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 사이버 범죄 분석을 위한 웹 스크래핑: 원리, 도구, 사례, 전략 (0) | 2025.01.24 |
|---|---|
| AI 기능 비활성화: Windows 및 웹에서 AI 제거 방법 (0) | 2025.01.24 |
| 반세기 넘긴 C 언어, 아직도 현역인 이유 (0) | 2025.01.24 |
| 점검해야 할 사이버보안 기술 5가지 (0) | 2025.01.24 |
| 새로운 악성코드 배포 방식: DaaS와 스타게이저고스트 네트워크 (0) | 2025.01.24 |