像駭客一樣思考：私有儲存庫中的 AWS 金鑰

每日分享最新，最流行的軟體開發知識與最新行業趨勢，希望大家能夠一鍵三連，多多支援，跪求關注，點贊，留言。

攻擊者如何利用洩露的憑據？在這個新系列中，我們試圖透過想象合理的攻擊場景來回答這個問題。第二種情況：在私有儲存庫中找到 AWS 金鑰。

關於本系列

上次，我們介紹了一個場景，其中威脅行為者發現“Poor Corp。”的 TLS 萬用字元證書使用的洩露的 RSA 私鑰。透過將洩露的私鑰與 DNS 錯誤配置連結起來，攻擊者能夠冒充可憐的公司子域並使用它來建立高效的網路釣魚電子郵件。

在本系列中，我們不僅會剖析攻擊者可以做些什麼來獲取憑據，還會剖析他們在獲得初始訪問許可權後會做些什麼。我們將在本系列的每個部分中介紹不同的威脅場景，並講述惡意駭客的故事，這些故事要麼是真實的，基於真實事件，要麼是合理的理論。

低估私有 Git 儲存庫

這一次，我們正在探索發生在另一個“可憐的公司”身上的真實資料洩露事件。這種攻擊與許多其他違規行為一樣開始：透過成功的網路釣魚攻擊。

在這種情況下，威脅參與者一直在大型活動中傳送網路釣魚電子郵件，並且他們已經開始積累大量憑據。隨著新憑據的傳入，惡意駭客注意到他們成功地在大型知名公司Poor Corp 對某人進行了網路釣魚。駭客對他們成功進行網路釣魚的員工進行了一些 OSINT（開源情報）收集，他們發現他們擁有 Poor Corp 軟體工程師的證書。

駭客利用軟體工程師的憑證做的第一件事是發現他們可以訪問Poor Corp 的哪些服務。在偽裝成軟體工程師的同時，惡意駭客發現他們被盜的憑據可以登入到 Poor Corp 的 GitHub 組織。Poor Corp 有幾個開源儲存庫，但我們的駭客對他們以前無法訪問的東西更感興趣：

私有儲存庫。

為了獲得程式碼庫的本地副本，駭客克隆了 Poor Corp 的所有私人儲存庫。然後，他們在每個 repo 上使用像Gitleaks這樣的開源工具，看看他們是否能找到任何有效的秘密。不幸的是，對於可憐的公司來說，他們的軟體工程師沒有像他們的開原始碼那樣對他們的內部程式碼進行嚴格的審查，我們的駭客

在一些私人儲存庫中

發現了硬編碼的 AWS 金鑰。

AWS 資料洩露和勒索

藉助Poor Corp 程式碼中的AWS 金鑰，我們的駭客能夠訪問一項服務，該服務為Poor Corp 的主要SaaS（軟體即服務）產品處理計算任務。該服務的內部是Poor Corp 的客戶資訊檔案——而且數量也不小。該服務包含Poor Corp 約700 萬客戶的個人資料。

有了這麼多的個人資訊，惡意駭客決定他們可以透過竊取資料並勒索他們來敲詐可憐的公司。從 AWS 檔案中複製所有資料後，駭客向Poor Corp 傳送了一封電子郵件。該電子郵件稱，除非Poor Corp 向駭客付款，否則他們客戶的資料將被洩露。對駭客來說幸運的是，Poor Corp 因不正當的商業行為而聲名狼藉，他們決定以 100，000 美元的價格收買駭客的沉默。

可憐的公司掩蓋了這一事件，駭客得以逃脫勒索。直到幾年後，該違規行為才最終被公開披露。到那時，我們的駭客早已不復存在，所有證據都被抹去。

得到教訓

從這種現實世界的資料洩露中得到的第一個結論是，能夠抵禦網路釣魚攻擊的控制措施的重要性。網路釣魚培訓計劃可以提供幫助，但更重要的是擁有可以限制成功網路釣魚影響的技術控制。

在這種情況下，如果 Poor Corp 的軟體工程師

在他們的 GitHub 帳戶上設定了 MFA（多重身份驗證）

，那麼駭客可能無法訪問 Poor Corp 的私人 GitHub 儲存庫。對不常見的登入屬性（位置、裝置等）發出警報也可能向Poor Corp 暗示他們的軟體工程師的帳戶已被接管。

網路釣魚是任何資料洩露最常見的初始訪問媒介，攻擊者越難以接管您的帳戶，您就能越早防止或檢測到洩露。

這次攻擊的第二個收穫是，

私人回購與公共回購一樣重要。

Poor Corp 在他們的私人 GitHub 儲存庫中對他們的程式碼衛生很懶惰，這可能是因為他們認為只有員工的帳戶才能訪問它們。但是，一旦他們的一名軟體工程師被釣魚，他們的儲存庫就會暴露給組織外部的惡意人員。

最後，這種情況凸顯了 Poor Corp 在掩蓋資料洩露方面的不當行為。即使他們付錢讓駭客不洩露客戶的私人資料，Poor Corp 仍然不能保證這些資料最終不會被濫用或洩露，他們的客戶應該受到警告。

當發生這樣的資料洩露事件時，它永遠不會很好地反映一家公司，但當公司試圖掩蓋它並讓其客戶更加脆弱時，情況會更糟。幸運的是，政府組織正在採取行動改善資料洩露報告的狀態。然而，企業領導者最終要認識到披露網路攻擊的重要性並採取行動。

可憐的公司如何增強其安全態勢？

人們很容易認為掃描面向公眾的儲存庫中的秘密很重要，但這種現實世界的資料洩露證明，

從安全形度來看，您需要對所有程式碼一視同仁。

惡意駭客可以使用Gitleaks和TruffleHog等開源工具快速檢測大量程式碼中的秘密

，不留痕跡

。作為防禦者，

將秘密掃描緊密整合到您的 SDLC

（軟體開發生命週期）中以降低暴露它們的風險非常重要。