La nueva herramienta detecta intrusiones de AWS donde los piratas informáticos abusan de tokens autorreplicantes


SkyWrapper

Picture CyberArk

La firma de seguridad CyberArk ha lanzado una nueva herramienta llamada SkyWrapper que puede detectar una cierta clase de intrusiones y actividades maliciosas dentro de los entornos informáticos de AWS (Amazon Internet Expert services).

Estas intrusiones no son culpa de una vulnerabilidad en la infraestructura de AWS. Se producen después de que los desarrolladores exponen sus tokens de acceso y credenciales de AWS en línea, generalmente codificándolos en el código fuente de su aplicación.

Los piratas informáticos escanean estas credenciales de AWS expuestas, obtienen acceso a una cuenta de AWS y luego roban datos o instalan malware en la infraestructura de un cliente.

Una parte vital de este tipo de ataques es que los hackers pueden retener el acceso a un entorno comprometido tanto como sea posible.

Nueva técnica abusa de AWS STS

En dos informes publicados durante el mes pasado, las empresas de seguridad CyberArk y NetSPI hemos detallado una nueva técnica que los hackers están utilizando ahora para ocultar su presencia en entornos de AWS comprometidos.

Según lo descrito por los dos, la técnica se basa en que los piratas informáticos abusan del Servicio de token de seguridad de AWS (STS) para emitir tokens temporales. Estas Fichas temporales STS están destinados a durar entre unos minutos y varias horas y generalmente se emplean para crear infraestructura temporal de AWS en caso de sobrecarga.

CyberArk y NetSPI dicen que los hackers están usando scripts que crean tokens temporales en un bucle, usando el token temporal existente (y que pronto expirará) para generar uno nuevo para usar en el futuro.

sts-token-abuse.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/04/14/359a00bc-a965-44a5-8d96-880ace443b1d/sts-token-abuse.png

Imagen: CyberArk

La técnica permite a los piratas informáticos mantener sus intrusiones en secreto como actividad STS typical, que muchos propietarios de cuentas de AWS no están acostumbrados a investigar en busca de actividades sospechosas.

Pero aquí es donde lo nuevo SkyWrapper La herramienta viene a ayudar. De código abierto en GitHub, SkyWrapper permite a los propietarios de cuentas de AWS investigar la actividad de STS en busca de picos en la emisión de tokens temporales.

La herramienta funciona generando una hoja de cálculo de Excel que enumera todos los tokens temporales actualmente activos, pero también las claves de acceso de AWS que se usaron para generar los temporales.

Si una clave de acceso AWS (AKIA) en specific genera una gran cantidad de claves temporales (ASIA), es muy probable que la clave AKIA se haya filtrado o se haya visto comprometida.

«Le animo a ejecutar SkyWrapper y obtener una mejor vista de los tokens temporales que existen en su entorno, detectar los privilegios y manejar los que están marcados como sospechosos. Se sorprenderá al ver cuántos tokens temporales tiene en su cuenta «, dijo el equipo de CyberArk.



Enlace a la noticia primary