Seguridad

Indicadores clave en los registros de CloudTrail para claves API robadas

20 de agosto de 2024noticias de piratas informáticosCiberseguridad / Seguridad en la Nube

A medida que la infraestructura de la nube se convierte en la columna vertebral de las empresas modernas, garantizar la seguridad de estos entornos es primordial. Dado que AWS (Amazon Web Services) sigue siendo la nube dominante, es importante que cualquier profesional de la seguridad sepa dónde buscar señales de compromiso. AWS CloudTrail se destaca como una herramienta esencial para rastrear y registrar la actividad de API, proporcionando un registro completo de las acciones realizadas dentro de una cuenta de AWS. Piense en AWS CloudTrail como una auditoría o un registro de eventos para todas las llamadas API realizadas en su cuenta de AWS. Para los profesionales de la seguridad, monitorear estos registros es fundamental, especialmente cuando se trata de detectar posibles accesos no autorizados, como por ejemplo a través de claves API robadas. Aprendí estas técnicas y más de los incidentes en los que trabajé en AWS que integramos en AWS CloudTrail. SIN PARA 509Análisis forense en la nube empresarial.

1. Llamadas API y patrones de acceso inusuales

A. Aumento repentino de solicitudes de API

Una de las primeras señales de una posible violación de la seguridad es un aumento inesperado en las solicitudes de API. CloudTrail registra cada llamada API realizada a su cuenta de AWS, incluido quién realizó la llamada, la fecha y dónde se originó. Un atacante con claves API robadas puede emitir una gran cantidad de solicitudes en un corto período de tiempo, ya sea investigando la cuenta en busca de información o intentando explotar ciertos servicios.

Qué buscar:

  • Un aumento repentino e inusual en la actividad de API.
  • Llamadas API que se originan desde direcciones IP inusuales, especialmente desde regiones donde no operan usuarios legítimos.
  • Intenta acceder a una amplia variedad de servicios, especialmente si su organización no los utiliza habitualmente.

Tenga en cuenta que la función de guardia (si está habilitada) informará automáticamente este tipo de eventos, pero debe estar atento para encontrarlos.

B. Uso no autorizado de la cuenta raíz

AWS recomienda encarecidamente evitar el uso de la cuenta raíz para las operaciones diarias debido a su alto nivel de privilegios. Cualquier acceso a la cuenta raíz, especialmente si se utilizan claves API asociadas a ella, es una señal de alerta importante.

Qué buscar:

  • Llamadas API realizadas con credenciales de cuenta raíz, especialmente si la cuenta raíz no se usa normalmente.
  • Cambios en la configuración a nivel de cuenta, como cambiar la información de facturación o las configuraciones de la cuenta.

2. Actividad anormal de IAM

A. Creación sospechosa de claves de acceso

Los atacantes pueden crear nuevas claves de acceso para establecer un acceso permanente a la cuenta comprometida. Es esencial monitorear los registros de CloudTrail para la creación de nuevas claves de acceso, especialmente si estas claves se crean para cuentas que normalmente no las necesitan.

Qué buscar:

  • Creé nuevas claves de acceso para los usuarios de IAM, especialmente aquellos que anteriormente no las necesitaban.
  • Uso inmediato de claves de acceso recién creadas, lo que podría indicar que un atacante está probando o utilizando estas claves.
  • Llamadas API relacionadas con `CreateAccessKey`, `ListAccessKeys` y `UpdateAccessKey`.

C. Modelos de asunción de roles

AWS permite a los usuarios asumir roles otorgándoles credenciales temporales para tareas específicas. Es esencial monitorear los patrones inusuales de asunción de roles, ya que un atacante podría asumir roles para pivotar dentro del entorno.

Qué buscar:

  • Llamadas a la API “AssumeRole” inusuales o frecuentes, especialmente para roles con privilegios elevados.
  • Suposiciones de roles de direcciones IP o regiones que normalmente no están asociadas con sus usuarios legítimos.
  • Suposiciones de roles seguidas de acciones inconsistentes con las operaciones comerciales normales.

3. Acceso y movimiento anormal de datos

A. Acceso inusual al depósito S3

Amazon S3 suele ser un objetivo para los piratas informáticos porque puede almacenar grandes cantidades de datos potencialmente confidenciales. Monitorear CloudTrail para detectar accesos inusuales a depósitos de S3 es esencial para detectar claves API comprometidas.

Qué buscar:

  • Llamadas API relacionadas con `ListBuckets`, `GetObject` o `PutObject` para depósitos que normalmente no ven dicha actividad.
  • Descargas o cargas de datos a gran escala hacia y desde depósitos de S3, especialmente si ocurren fuera del horario comercial normal.
  • Intenta acceder a depósitos que almacenan datos confidenciales, como copias de seguridad o archivos confidenciales.

B. Intentos de filtración de datos

Un atacante puede intentar sacar datos de su entorno de AWS. Los registros de CloudTrail pueden ayudar a detectar dichos intentos de filtración, especialmente si los patrones de transferencia de datos son inusuales.

Qué buscar:

  • Grandes transferencias de datos desde servicios como S3, Relational Database Service (RDS) o DynamoDB, incluso a direcciones IP externas o desconocidas.
  • Llamadas API relacionadas con servicios como AWS DataSync o S3 Transfer Acceleration que normalmente no se utilizan en su entorno.
  • Intenta crear o modificar configuraciones de replicación de datos, como aquellas que involucran la replicación entre regiones de S3.

4. Cambios inesperados en el grupo de seguridad

Los grupos de seguridad controlan el tráfico entrante y saliente a los recursos de AWS. Un atacante puede modificar esta configuración para abrir vectores de ataque adicionales, como habilitar el acceso SSH desde direcciones IP externas.

Qué buscar:

  • Cambios en las reglas del grupo de seguridad que permiten el tráfico entrante desde direcciones IP fuera de su red de confianza.
  • Llamadas API relacionadas con “AuthorizeSecurityGroupIngress” o “RevokeSecurityGroupEgress” que no corresponden a operaciones normales.
  • Crear nuevos grupos de seguridad con reglas demasiado permisivas, como permitir todo el tráfico entrante en puertos comunes.

5. Pasos a seguir para mitigar el riesgo de robo de claves API

A. Aplicar el principio de privilegio mínimo

Para minimizar el daño que un atacante puede causar con claves API robadas, aplique el principio de privilegio mínimo en su cuenta de AWS. Asegúrese de que los usuarios y roles de IAM tengan solo los permisos necesarios para realizar sus tareas.

B. Implementar la autenticación multifactor (MFA)

Requerir autenticación multifactor para todos los usuarios de IAM, especialmente aquellos con privilegios administrativos. Esto agrega una capa adicional de seguridad, lo que dificulta que los atacantes obtengan acceso, incluso si han robado claves API.

C. Rotar y auditar las claves de acceso periódicamente

Rote las claves de acceso con regularidad y asegúrese de que estén asociadas con los usuarios de IAM que realmente las necesitan. Además, revise el uso de las claves de acceso para asegurarse de que no se utilicen de forma incorrecta o desde ubicaciones inesperadas.

D. Habilitar y monitorear CloudTrail y GuardDuty

Asegúrese de que CloudTrail esté habilitado en todas las regiones y que los registros estén centralizados para su análisis. Además, AWS GuardDuty puede proporcionar monitoreo en tiempo real de actividad maliciosa, proporcionando una capa adicional de protección contra credenciales comprometidas. Considere utilizar AWS Detective para obtener información adicional sobre los resultados.

E. Utilice AWS Config para monitorear el cumplimiento

AWS Config se puede utilizar para monitorear el cumplimiento de las mejores prácticas de seguridad, incluido el uso adecuado de las políticas de IAM y los grupos de seguridad. Esta herramienta puede ayudarle a identificar errores de configuración que podrían hacer que su cuenta sea vulnerable a ataques.

Conclusión

La seguridad de su entorno de AWS depende de una supervisión atenta y una detección rápida de anomalías en los registros de CloudTrail. Al comprender los patrones típicos de uso legítimo y estar alerta a las desviaciones de estos patrones, los profesionales de la seguridad pueden detectar y responder a posibles compromisos, como aquellos que involucran claves API robadas, antes de que causen daños significativos. A medida que los entornos de nube continúan evolucionando, mantener una postura de seguridad proactiva es esencial para proteger los datos confidenciales y garantizar la integridad de su infraestructura de AWS. Si desea obtener más información sobre qué buscar en AWS en busca de signos de intrusión, así como sobre las nubes de Microsoft y Google, puede considerar mi curso. PARA509 correr a Iniciativa de ciberdefensa SANS 2024. Visita pour509.com para saber más.

¿Te pareció interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Gorjeo Y LinkedIn para leer más del contenido exclusivo que publicamos.

También puede interesarte

Seguridad

Gpuhammer: la nueva variante de ataque de Rowhammer degrada los modelos AI en las GPU de NVIDIA

2 meses ago
morelljuanjose@gmail.com
Seguridad

Los piratas explotan el defecto crítico de RCE en el servidor FTP Wing

2 meses ago
morelljuanjose@gmail.com
Seguridad

Más de 600 aplicaciones de Laravel expuestas a la ejecución del código remoto debido a la fuga de APP_Keys en GitHub

2 meses ago
morelljuanjose@gmail.com

No te lo pierdas

NFT

NFTs en Latinoamérica 2025: US$ 35.9 M en ingresos y salto del 33% en gaming, RWA y fidelización

Fondeos

Fintech para empresas: el acceso al financiamiento digital en Argentina

Regulación

Regulaciones Fintech en Argentina: Crecimiento del 11.7% en startups y desafíos pendientes hacia 2035

Startups

PaySend Priitatines Latam Expansión con TevisaUnivision Partnerser

Exit mobile version