A CyberArk lançou uma ferramenta que pode detectar invasões e atividades maliciosas como essas em ambientes de computação Amazon Web Services (AWS). Chamada de SkyWrapper, a ferramenta, de código aberto no GitHub, permite que proprietários de contas AWS investiguem atividades do STS considerando picos na emissão de tokens temporários.
Cibersegurança: AWS integra soluções da BlackBerry Cylance
Segundo dois relatórios publicados em março pela CyberArk e pela NetSPI, hackers ocultando sua presença nos ambientes AWS. Eles tiram proveito do AWS Security Token Service (STS), ferramenta para a emissão de tokens temporários. Esses tokens, que devem durar de alguns minutos a várias horas, geralmente são usados pelos desenvolvedores para criar uma infraestrutura AWS temporária em caso de sobrecarga.
Os hackers estão usando os scripts que criam tokens temporários em um loop – usando o token temporário existente (e prestes a expirar) para gerar um novo para usar a partir de então. Com isso, conseguem manter as intrusões em segredo, se beneficiando ainda do fato de que poucos proprietários de contas AWS não estão acostumados a investigar atividades suspeitas.
A ferramenta funciona gerando uma planilha de Excel que lista todos os tokens temporários ativos no momento, bem como as chaves de acesso AWS que foram usadas para gerar os tokens temporários. Se uma chave de acesso específica AWS gera um grande número de tokens temporárias, é provável que a chave tenha sido exposta.
Participe das comunidades IPNews no Facebook, LinkedIn e Twitter.