Securityspecialist CyberArk heeft de tool SkyWrapper ontwikkeld waarmee aanvallen op AWS-omgevingen kunnen worden gedetecteerd. Het gaat hierbij vooral om aanvallen waarbij misbruik wordt gemaakt van onrechtmatig verkregen tijdelijke tokens.
De nu uitgebrachte tool van de securityspecialist moet het mogelijk maken om aanvallen op AWS-omgevingen te detecteren waarbij onrechtmatig verkregen tokens en wachtwoorden worden gebruikt.
De hackers verkrijgen deze tokens en wachtwoorden vaak doordat ontwikkelaars – geheel onbedoeld – deze per abuis hardcoded achterlaten in de broncode van hun in AWS ontwikkelde en opgeslagen applicaties. Wanneer hackers deze ontdekken, krijgen zij eenvoudig toegang tot de betreffende AWS-account en kunnen zo zeer eenvoudig data ontvreemden of malware installeren op de infrastructuur van de betreffende omgeving. Dit kunnen zij zelfs doen zo vaak zij maar willen.
Hackers verbergen zich
Bovendien is het niet detecteerbaar dat een bepaald AWS-account is gehackt, zo stellen de experts van CyberArk verder. Concreet misbruiken hackers de AWS Security Token Service (STS) om tijdelijke tokens uit te geven. Deze tokens zijn slechts een paar minuten of uren geldig en zijn bedoeld om een tijdelijke AWS-infrastructuur te creëren wanneer er een overload is.
De hackers gebruiken echter een script dat ervoor zorgt dat deze tijdelijke tokens in een loop komen. Hierbij maakt een bestaand tijdelijk token -die snel weer afloopt- een nieuw tijdelijk token aan om verder te gaan. Hierdoor zijn hackers is staat hun aanvallen te ‘verbergen’ als ‘normaal’ STS-verkeer. Veel AWS-gebruikers zien daar geen gevaren in, aldus de experts,
Functionaliteit SkyWrapper
De nu als open source op GitHub uitgebrachte tool SkyWrapper moet gebruikers gaan helpen juist dit STS-verkeer te onderzoeken op kwaadaardige activiteiten. De tool stelt klanten in staat om bepaalde pieken in dit STS-verkeer in het uitbrengen van tokens te onderzoeken. De tool genereert een Excel-sheet waarin alle op dat moment actieve tijdelijke tokens staan vermeld, maar het laat ook daarbij de AWS-toegangssleutels zien die voor het genereren van deze tokens zijn gebruikt.
Wanneer een bepaalde AWS-toegangssleutel een grote hoeveelheid van deze tijdelijke tokens genereert, dan is het mogelijk dat de toegangssleutel is gelekt en wellicht gehackt. Klanten kunnen dan vervolgens hierop actie ondernemen.
9 uur geleden
